AUDITORIAS DE SEGURIDADcursos.iplacex.cl/CED/ADS8005/S1/ME_1.pdf · 2017. 11. 9. · la norma ISO...
Transcript of AUDITORIAS DE SEGURIDADcursos.iplacex.cl/CED/ADS8005/S1/ME_1.pdf · 2017. 11. 9. · la norma ISO...
-
1
AUDITORIAS DE SEGURIDAD UNIDAD I Conociendo las auditorías
-
2
Introducción
Las auditorias en todo negocio son muy importantes, por cuanto los
responsables de un área o producto sin la práctica de una auditoria no tienen
plena seguridad de que los datos obtenidos, son realmente verdaderos y
confiables. En una auditoria se define la situación real de la empresa en un
periodo determinado.
Una auditoria además, evalúa el grado de eficiencia y eficacia con que se
desarrollan las tareas administrativas y el grado de cumplimiento de los planes y
orientaciones emanadas por la dirección.
Una auditoria puede evaluar, por ejemplo, los estados financieros en su
conjunto o una parte de ellos, el correcto uso de los recursos humanos, el uso de
los materiales y equipos y su distribución, etc. Contribuyendo para que la dirección
pueda en un momento determinado tomar decisiones bien fundadas.
La Norma ISO 19011:2011, que analizaremos como base en este curso,
proporciona orientación sobre la gestión de un programa de auditoría, sobre la
planificación y la realización de una auditoría del Sistema de Gestión, así como
la competencia y la evaluación de un auditor y un equipo auditor. La norma ISO
19011, no es una norma certificable pero sí que puede ayudar a las
organizaciones a mejorar el desempeño de los Sistemas de Gestión que se
encuentren implementados en la organización.
Cuando una empresa cuenta con un Sistema de Gestión implementado,
debe realizar ciertas auditorías periódicas para asegurarse de que el Sistema de
Gestión sigue siendo eficaz. En este momento es cuando la norma ISO 19011
cobra valor.
La ISO 19011 proporciona recomendaciones para ayudar a las
organizaciones a establecer un programa de auditoría que facilite el
cumplimiento de los requisitos establecidos en las diferentes normas ISO. Las
¿Ha pensado usted porqué todos los dueños de vehículos
motorizados deben efectuar una revisión técnica de estos?
-
3
directrices que establecen las normas ISO sientan las bases para realizar las
auditorías internas de la organización, las auditorias que la organización puede
necesitar para evaluar a sus proveedores y las auditorías externas que tiene que
realizar para optar a obtener la certificación.
“La primera característica que debe tener un buen auditor interno
es saber escuchar” NAHUM FRETT
-
4
Ideas fuerza
“Auditoría es el examen crítico y sistemático que realiza un profesional del área del conocimiento de la entidad o programa auditado” “Una evidencia es un conocimiento que se descubre en base a los registros documentales en un proceso de auditoría” “Sistemas de Gestión es un conjunto de elementos relacionados o que interactúan que permiten implantar y alcanzar la política y los objetivos de una entidad, cualquiera sea su finalidad.”
-
5
1. Conceptos relacionados con el proceso de auditorías
Para entender de qué se trata el proceso de auditoría en específico, es
necesario abordar algunos conceptos que son inherentes a la auditoría. Para esto,
la norma ISO 19011:2011 orienta proporcionando las definiciones estandarizadas
de los conceptos correspondientes al proceso de auditoría.
1.1 Términos y definiciones relacionados con las auditorías:
Para hablar de auditoría primero se debe estandarizar el concepto. La
norma ISO 19011:2011 define auditoría de la siguiente manera:
Según RAE.es.
Auditoría se define como
1.f. Revisión sistemática de una actividad o de una situación para evaluar el
cumplimiento de las reglas o criterios objetivos a que aquellas deben somet
erse. http://dle.rae.es/?id=4NVvRTc
La auditoría es un proceso sistemático, independiente y
documentado para obtener evidencias de la auditoría y evaluarlas de
manera objetiva con el fin de determinar la extensión en que se cumplen
los criterios de auditoría. NORMATIVA ISO 19011:2011
http://dle.rae.es/?id=4NVvRTc
-
6
En otras palabras Auditoria es un proceso independiente del sistema de
gestión, pero a la vez es parte de él, comprendiendo que es un proceso de apoyo
para obtener el grado de cumplimiento de lo establecido en la norma. Se trata de
un proceso sistemático porque posee un conjunto de procedimientos lógicos y
organizados para ejecutarse.
Para ejecutar la auditoría es necesario generar un programa. La ISO
19011:2011 brinda claridad respecto a cómo definir este concepto:
Programa de auditoría es el conjunto de una o más auditorías planificadas
para un periodo de tiempo determinado y dirigidas hacia un propósito específico.
Dentro de la auditoría destacan tres entes que conforman el proceso:
auditor, auditado y equipo auditor.
El auditor es la persona que lleva a cabo la auditoría, mientras que el
auditado es la organización que está siendo auditada. Finalmente, el equipo
auditor es el conjunto de uno o más auditores que son quienes llevan a cabo la
auditoría con el apoyo de expertos técnicos.
Cada auditor tiene competencias técnicas adecuadas para realizar dicho
proceso. Cuando el auditor no posee competencias técnicas suficientes asociadas
al proceso, el equipo auditor puede contar con un experto técnico que es la
persona que aporta conocimientos o experiencia específica al equipo auditor.
Programa de auditoría es el conjunto de una o más auditorías
planificadas para un periodo de tiempo determinado y dirigidas hacia un
propósito específico.
¿Por qué es importante una auditoria en un sistema de
seguridad?
-
7
1.1.1 Criterios, evidencias y hallazgos de auditorías de gestión:
Existen tres conceptos que suelen ser confundidos o poco comprendidos
respecto a qué es auditoría de sistemas de gestión. Para entender estos
conceptos, la norma ISO 19011:2011 proporciona definiciones claras.
1) Criterio de auditoría es un grupo de políticas, procedimientos o
requisitos usados como referencia y contra los cuales se compara la evidencia de
auditoría.
En base a estos conceptos, en palabras simples, el criterio tiene relación
con los documentos asociados al sistema de gestión (políticas y procedimientos),
los cuales son las referencias que se aplican en los distintos procesos de la
organización. Por tanto, el criterio es el parámetro de comparación de cumplimiento
de estas referencias en relación al sistema de gestión para verificar su
cumplimiento.
2) Evidencia de auditoría 1es el registro, declaraciones de hechos o
cualquier otra información que son pertinentes a los criterios de auditoría y que son
verificables.
La evidencia de la auditoría es todo lo que el auditor pueda encontrar
dentro de su revisión y que dé cuenta de las observaciones y no conformidades,
entendiendo por no conformidad el no cumplimiento de un requisito normativo.
1 Nota: La evidencia puede ser de carácter cuantitativa o cualitativa.
Ejemplo:
El criterio de una auditoría en una planta de alimentos es la norma
ISO 22000 “Sistema de gestión de inocuidad alimentaria”, que entrega las
normas para gestionar este tipo de empresas. Si la empresa fuera
forestal, podría regirse por la norma ISO 14001:2015 y la normativa legal
asociada a los aspectos ambientales
-
8
3) Hallazgo de la auditoría son los resultados de la evaluación de la
evidencia de la auditoría recopilada frente a los criterios de auditoría.
Los hallazgos de la auditoría corresponden a todo lo que detecta el auditor
a través de las entrevistas realizadas, observación u otras técnicas aplicadas.
Como las siguientes, las técnicas de interrogatorio, la conversación con pregunta
cerrada, o la técnica de Tascoi y que este estime que no se ajusta al criterio de
evaluación.
Ejemplo:
El informe de auditoría es evidencia de las entrevistas y
proporciona los elementos necesarios para realizar la comparación entre
el criterio y lo que se está ejecutando.
TÉCNICA DE TASCOI
Mediante el TASCOI el equipo auditor establece la identidad en uso
de la organización, con el propósito de determinar:
¿Qué hace realmente la entidad?
¿Cómo lo hace?
¿Para qué lo hace?
¿Quiénes son los propietarios del proceso o dueños del proceso?
¿Cuáles son los clientes?
-
9
2. Tipos de Auditorías de Sistemas de Gestión:
A pesar de que el concepto de auditoría aplicado a los sistemas de gestión
es único, existen variantes de las auditorías basadas en su aplicación o en lo que
esté enfocada.
Se clasifican en:
Auditoría interna: se realiza al interior de la organización, con la finalidad
de controlar y aplicar mejoras en el sistema de gestión que se esté auditando.
Tiene como objetivo final detectar las posibles no conformidades y mejorarlas antes
de llegar a las auditorías de certificación.
Auditoría externa: como lo indica su nombre, es realizada por un auditor o
equipo auditor externo. Puede estar relacionada con la obtención de una
certificación u otro tipo de auditorías que no son de certificación, pero que permiten
que algún ente pueda certificar los procesos internos de la organización.
En estos dos grupos se pueden subdividir distintos tipos se auditoría, las
cuales se detallan a continuación:
2.1 Por campo de aplicación:
2.1.1 Por tipo de cliente
Tal como lo indica su nombre, se enfocan en el cliente. Entendiendo dicho
concepto de manera más amplia, en esta categoría es posible identificar las
auditorías de compras o due diligence, la auditoría de cumplimiento legal, de
proveedores o de segunda parte, de homologación, etc.
-
10
2.1.2 Por el ámbito de la auditoría
El otro grupo son las auditorías que atienden a un objetivo específico, o
que buscan verificar un tema particular. En este grupo se pueden identificar
algunas tales como la auditoría del sistema de gestión, la auditoría a procesos o
conjunto de procesos, auditoría de uno o de un conjunto de requisitos, entre otras.
2.2 Clasificación de auditoría por objetivo, alcance y sujeto:
Entendiendo que las auditorías se dividen en dos grandes grupos, estas
también tienen subdivisiones que se enfocan a objetivo, alcance y sujeto.
2.2.1 Atendiendo al objetivo:
A continuación la subdivisión de la auditoría que se enfoca a objetivos.
2.2.1.1 Auditoría de tercera parte:
Este tipo de auditoría es desarrollada por un organismo independiente,
sobre una organización que busca la conformidad con una norma o reglas de
estandarización.
2.2.1.2 Auditoría de homologación:
La homologación de proveedores es el proceso por el cual una empresa
define aquellos proveedores que están cualificados para suministrar los productos
y servicios ofrecidos. Para poder certificar aquello es que se realiza la auditoría de
homologación. A pesar de que su definición es similar a la de la auditoría de
segunda parte, esta apela al concepto de homologar, en el sentido de que el
proveedor debe adaptarse a los sistemas de gestión que posee el comprador. Un
ejemplo claro de este tipo de auditoría es el rubro minero, donde las empresas
mandantes exigen a proveedores tener algún sistema de gestión que asegure que
sus procesos sean acordes a los suyos.
Codelco efectúa auditorías de segunda parte o de proveedores a
todos sus subcontratistas, para evidenciar el cumplimiento de la
normativa y requerimientos solicitados para ser proveedor de servicios a
la empresa.
-
11
2.2.1.3 Auditoría de compra:
Es un proceso investigativo que se emplea previo a alguna firma de
contrato o una ley con cierta “diligencia” de cuidado. Un ejemplo habitual de due
diligence es el proceso por el cual un comprador potencial evalúa una empresa
objetivo o sus activos, de cara a una adquisición. Con ello estima el riesgo
financiero y de mercado, previo a realizar dicha adquisición.
2.2.1.4 Auditoría de cumplimiento legal:
Este tipo de auditoría consiste en comprobar las operaciones financieras,
administrativas, económicas y de cualquier otro tipo que permitan establecer y
verificar que los procesos se realizan en conformidad a las normas legales que les
sean aplicables.
2.2.2 Atendiendo al alcance:
En adelante la subdivisión de la auditoría que se enfoca al alcance.
2.2.2.1 Auditoría del producto:
En este tipo de auditoría, y tal como su nombre lo indica, se evalúan y
contrastan los productos o servicios con los requisitos establecidos para su
realización, evaluando las especificaciones definidas en el sistema.
Las plantas de revisión técnica son sometidas a auditorías para ver
el cumplimiento de la normativa legal emitida por el Ministerio de
Transporte y Telecomunicaciones para poder desarrollar su actividad y
tener la potestad de entregar las revisiones técnicas autorizadas.
La auditoría de producto también puede ser considerada una
auditoría de segunda parte. En este caso una empresa que fabrica
mermeladas auditará a la empresa que le provee de frutas para su
proceso productivo. Ello, para asegurar la calidad de su materia prima y
con ello tener la seguridad de que su producto tendrá un resultado
óptimo.
-
12
2.2.2.2 Auditoría de sistema de gestión:
La auditoría del sistema de gestión busca verificar el cumplimiento del
sistema de gestión y evidenciar los elementos que están con problemas, para de
esta manera preparar la auditoría externa de certificación. Este tipo de auditoría se
considera una especie de ensayo general, un poco más elaborado y realizado por
agentes externos.
2.2.2.3 Auditoría de procesos o de un conjunto de proceso:
En este tipo de auditoría se verifican las entradas al proceso y las salidas
del sistema, y si estos se ejecutan de acuerdo a los requisitos establecidos dentro
del sistema de gestión, cualquiera sea este. Se enfoca solo en procesos y no en
cuestiones administrativas. Es muy usada dentro de la minería por las compañías
mandantes para verificar los procesos de los subcontratistas.
2.2.2.4 Auditoría de un requisito o de un conjunto de requisitos:
La auditoría de requisitos ya casi no es utilizada, pero se enfoca en revisar
uno o un conjunto de requisitos específicos para verificar su cumplimiento. Esto en
general es poco eficaz, ya que es más conveniente realizar auditorías a procesos o
productos que generar una auditoría a áreas específicas.
2.2.2.5 Auditoría de proveedores:
Se refiere a las auditorías realizadas a algún proveedor o posibles
proveedores. Tiene como finalidad evaluar los procesos vinculados al cliente. El
cliente o comprador es el auditor, y es a quien le interesa conocer la capacidad de
suministrar los productos o servicios requeridos por él y el cumplimiento de los
requerimientos solicitados por parte del proveedor.
¿Qué pasa si el auditor desconoce aspectos del proceso que
audita?
-
13
2.2.3 Atendiendo al Sujeto:
A continuación la subdivisión de la auditoría que se enfoca al sujeto.
2.2.3.1 Auditoría interna:
La auditoría interna es una actividad independiente y objetiva que tiene
como meta asegurar y controlar el proceso interno de las organizaciones en donde
está siendo aplicada. Es concebida para agregar valor y mejorar las operaciones,
sistemas y procesos internos. Tal como su nombre lo indica, es realizada en forma
interna por la organización. También es conocida como auditoría de primera parte,
y tiene como característica principal que el cliente es la organización.
2.2.3.2 Auditoría externa:
La auditoría externa es un proceso de examen y análisis de determinados
sistemas y requisitos de distintas índoles de la empresa y que es llevado a cabo
por una persona (auditor externo) o entidad especializada ajena a la entidad.
-
14
Conclusión
Durante el transcurso de esta primera semana, nos hemos introducido en
una de las tareas relevantes que consiste en establecer cómo está funcionando un
sistema de gestión o proceso. Esto es de mucha importancia en el campo de la
seguridad privada, en atención a que es un rubro en constante perfeccionamiento
y que nunca permanecerá estático o sin influencia del ambiente externo e interno.
Fueron revisadas como guía para la acción algunas definiciones de la norma ISO
19011:2011, con el objeto de comprender la importancia en que este proceso sea
realizado seriamente y busque su objetivo fundamental que es el mejoramiento
continuo.
Los tipos de auditorías son muy variados y responden a las necesidades
de las distintas organizaciones. En general, los grupos tienden a tener
características muy parecidas entre sí y solo se diferencian en sus rasgos
principales.
No obstante, tal como se presentan, todos los tipos de organización son
regidos por los mismos principios, siendo estos la base de todo el proceso. Estos
principios actúan simbióticamente y si uno de ellos no está́ presente, el proceso en
general se verá́ afectado en forma directa o indirecta. Por lo mismo, el profesional
auditor debe tener en cuenta la internalización de estos principios al momento de
ejecutar el proceso de auditoría.
-
15
Bibliografía
International Organization for Standardization (2011), ISO, Directrices para la
auditoria de sistemas de gestión, Ginebra, Suiza.
Lázaro Torres, N. (2009), Tendencias Pedagógicas en Centros de
Autoaprendizaje de Alemania, Suiza, HongKong y España, Aula Abierta.
Pozo, J.I. (2006). Teorías cognitivas del aprendizaje. Madrid, España,
Ediciones Morata.
Real Academia Española. (2001). Diccionario de la lengua española (22.aed.).
Consultado en http://www.rae.es/rae.html
Universidad de Chile. (2004). Guía para la Redacción de Referencias
Bibliográficas. Santiago: Universidad de Chile. Sistema de Servicios de
Información y Bibliotecas – SISIB ([email protected]).
Yukavetsky, G. (2003) La elaboración de un módulo instruccional, Puerto
Rico, Centro de Competencias de la Comunicación, Universidad de
Puerto Rico. Consultado en octubre 2014, en
http://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20in
struccional/CCC_LEDUMI.pdf
http://www.rae.es/rae.htmlmailto:[email protected]://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20instruccional/CCC_LEDUMI.pdfhttp://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20instruccional/CCC_LEDUMI.pdfhttp://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20instruccional/CCC_LEDUMI.pdf
-
16