Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización ISO 19011 /11 • Directrices para la auditoria de sistemas de Liderar el diseño,Gestión. el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización OBJETIVOS • Conocer los Conceptos fundamentales de las Auditorias. Liderar el diseño, el desarrollo y • Conocer los Elementos la implantación de proyectos y Fundamentales de las servicios de TI a diferentes Auditorias. niveles de la organización Contenido • Principios de Auditorias • Gestión de un Programa de Auditorias • Competencia y evaluación de los auditores Liderar el diseño, el desarrollo • Realización de yla Auditorias la implantación de proyectos y servicios de TI• aCompetencia diferentes y evaluación de niveles de la organización los auditores • Redacción de no conformidades Propósito de la auditoria Determinar si el Sistema de Gestión: Cumple los requisitos de la Norma. Liderar el diseño, el desarrollo y de Se proyectos adapta a las la implantación y disposiciones servicios de TI aplanificadas diferentes Esta correctamente niveles de la organización implementado Esta correctamente mantenido Conceptos básicos 3.1 AUDITORIA Proceso sistemático, independiente y documentado para obtener evidencias de la Liderar el diseño, el desarrollo y auditoría y evaluarlas de manera la implantación de proyectos y objetiva con el con el fin de servicios de TI a diferentes la extensión en que niveles de la determinar organización se cumplen los criterios de auditoría. TIPOS DE AUDITORIAS De Primera Parte : Se realizan por, o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos (ej. para confirmar la efectividad del sistema de gestión o para obtener información para la mejora del sistema de gestión). De segunda Parte : se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. De tercera parte:el Sedesarrollo llevan a cabo Liderar el diseño, y por organizaciones independientes y la implantación de auditoras proyectos y externas, tales como aquellas que proporcionan servicios de TI a diferentes el registro o la certificación de conformidad niveles de la organización Combinada: Cuando se auditan juntos dos o más sistemas de gestión de diferentes disciplinas (ej. calidad, ambiental, seguridad y salud ocupacional Conjunta: Cuando dos o mas organizaciones cooperan para auditar a un único auditado Conceptos básicos Criterios de Auditoría: Grupo de políticas, procedimientos o requisitos usados como referencia contra los cuales se compara la evidencia de la auditoría Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes Evidencia deniveles la auditoria: de la organización Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoria y que son verificables Conceptos básicos Hallazgos de la auditoria: Resultados de la evaluación de la evidencia de la auditoria recopilada frente a los criterios de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles odeNo la organización 1. Conformidad Conformidad. 2. Oportunidades de mejora. 3. Cumplimiento o incumplimiento si los criterios son requisitos legales. Conceptos básicos Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Conceptos básicos Conclusiones de la auditoría: Resultado de una auditoría que proporciona el equipo auditor, considerarylos objetivos Liderar el diseño,tras el desarrollo de la auditoría y todos los la implantación de proyectos hallazgos de yla auditoría servicios de TI a diferentes niveles de la organización Conceptos básicos Cliente de auditoria: Organización o persona que solicita una auditoría Auditado: Organización que está siendo auditada Liderar el diseño, el desarrollo y Auditor: Persona que llevade a cabo una auditoría la implantación proyectos y servicios de TI diferentes Equipo Auditor: Uno o a mas auditores que llevan a niveles de la organización cabo una auditoria. Conceptos básicos Programa de auditorias: Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico Liderar el diseño, el desarrollo y la implantación de proyectos y Plan de Auditoria: Descripción de las actividades y de servicios de TI a diferentes los detalles acordados en una auditoria niveles de la organización Alcance de la auditoria: Extensión y límites de una auditoria CONCEPTOS BÁSICOS Conformidad: Cumplimiento de un requisito Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización No Conformidad: Incumplimiento de un requisito Principios de auditoria a) Integridad – fundamento de la profesionalidad b) Presentación ecuánime – obligación de reportar con veracidad y exactitud Liderar el diseño, el desarrollo y c) de Debido cuidado profesional la implantación proyectos y servicios de TI– a aplicación diferentes de diligencia y juicio al auditar niveles de la organización d) Confidencialidad Seguridad de la información – Principios de auditoria e) Independencia: La base de la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos f) Enfoque basadoyen la evidencia servicios deElTImétodo a diferentes racional para alcanzar niveles de la organización de la auditoría conclusiones fiables y reproducibles en un proceso de auditoría sistemático Fases de la auditoria • Programa de auditorias internas • Planeación de la sesión de la auditoria • Notificación Liderar el diseño, el desarrollo y • Reunión de apertura la implantación de proyectos y registro de • Consecución servicios de TI aevidencias diferentes niveles de la •organización Reunión de cierre • Elaboración y presentación de informes. Gestión de un programa de auditoría Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Gestión de un programa de auditoría Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Ejemplos objetivos de auditoria • Confirmar que el Sistema de Gestión cumple los elementos de las especificaciones. • Confirmar que la Organización cumple sus propias políticas y procedimientos. • Determinar hasta que punto el Sistema de Gestióny esta diseñado Liderar el diseño, el desarrollo para lograr y este logrando el la implantacióncumplimiento de proyectos yregulativo y servicios de TImejoramiento a diferentes continuo de niveles de la organización desempeño. • Evaluar la efectividad del Sistema de Gestión implementado para lograr sus objetivos específicos. Gestión de un programa de auditoría Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Gestión de un programa de auditoría Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización TALLER Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Actividades de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Actividades de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Notificación • Notificar por escrito al auditado, la auditoria del Sistema de Gestión por anticipado. • En laelnotificación Liderar el diseño, desarrollo yse suministra el de tema, alcance, la implantación proyectos y objetivos, servicios de TIinformación a diferentesmínima requerida y agenda de la auditoria. Así niveles de la organización mismo, se dan los nombres de los auditores. PLAN DE LA AUDITORIA: • OBJETIVOS • CAMPO DE ACCIÓN DE LA AUDITORIA Liderar el diseño, el desarrollo • CRITERIOS DEyAUDITORIA la implantación de proyectos y • VIABILIDAD DE LA servicios de TI a diferentes niveles de la AUDITORIA organización • EQUIPO DE AUDITORIA EJEMPLO DE PLAN DE AUDITORIA OBJETIVO: Evidenciar el cumplimiento del Sistema de Gestión de la Calidad de EMPRE S.A., para el alcance definido por la Organización frente a la NTCISO-9001. CAMPO DE APLICACION: 1. 2. 3. En las instalaciones y proyectos de EMPRE S.A., incluyendo los siguientes procesos: Interventoria, Consultoria, Construcción. CRITERIOS DE AUDITORIA: 1. NTC-ISO-9001, Legislación, requisitos y procedimientos establecidos por la Organización. 2. Documentos de Referencia: NTC-ISO-9001 3. Idioma: Español 4. Viabilidad de la Auditoria: Es viable. Liderar el diseño, el desarrollo y La Auditoria se realizará en tres (3) días, distribuidos EQUIPO AUDITOR: de proyectos y de la siguiente forma: dos (2)la díasimplantación de visita y verificación en campo y un (1) día en la elaboración JAIME ALBERTO RAMOS PAREDES servicios de TI a diferentes del informe. Comunicador Social Especialista en Administración y Gerencia de los niveles de la organización La Auditoria se llevará a cabo el día 01 de septiembre de 2003 a partir de las 10:00 a.m. hasta las 6:00 p.m., para lo cual se espera abarcar todos los numerales de la norma NTC-ISO-9001. Sistemas de Calidad Especialista en Seguridad y Prevención de Riesgos Profesionales. HORA NUMERAL DE ACTIVIDAD LA NORMA 10:00 a.m. – 11:00 a.m. No Aplica Reunión de Apertura 11:00 a.m. – 11:30 a.m. 11:30 a.m. – 1:00 p.m. 1:00 p.m. – 2:00 p.m. 2:00 p.m. – 4:30 p.m. 4,2 No Aplica 4.3.2 control de riesgos, comunicación, control operacional y preparación y respuesta ante Traslado a Oficina central. Requisitos Legales y de Otra Índole. LUGAR Gerente General Sala de Juntas. Gerente Director de Interventoria de Proyecto asignado. Asistente de Gestión Humana Profesional de Apoyo en Calidad. Profesional de Apoyo en Salud Ocupacional. Gerente General Sala de Juntas Profesional de Apoyo en Salud Ocupacional. Profesional de Apoyo en Salud Ocupacional. Oficina de Salud Ocupacional Liderar el diseño, el desarrollo y 4.3.1 de peligros, evaluación y control de la Identificación implantación de proyectos y riesgos. de TI a diferentes No Aplicaservicios Almuerzo 4.2, 4.3.1, 4.4.3, Política, Identificación evaluación y Profesional de Apoyo en Salud Ocupacional. niveles de delapeligros, organización 4.4.6, 4.4.7 4:30 p.m. – 5:00 p.m. 5:00 p.m. – 6:00 p.m. Política PERSONAL DE EMPRE S.A. Proyecto Director de Interventoria de Proyecto asignado. Profesional de Apoyo en Salud Ocupacional. Oficina de Salud Ocupacional Actividades de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Reunión de apertura • Presentación oficial del equipo auditor • Presentación del alcance y agenda • Se presentanLiderar las reglas de base el diseño, el desarrollo y de la auditoria la implantación de proyectos y servicios de TI a diferentes • Se reconfirma que la auditoria es niveles de la organización un proceso de muestreo • No es necesario levantar acta de la reunión de apertura Actividades de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Actividades de la auditoria Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Consecución y registro de evidencias • Obtener evidencia objetiva de conformidad con el SG Liderar el diseño, el desarrollo y • Obtener evidencia la implantación de proyectos y objetiva de servicios de TI a diferentes conformidad a los niveles de la organización procedimientos Técnicas para formulación de pregunta TIPOS DE PREGUNTAS PROPÓSITO DE LAS PREGUNTAS • Preguntas Abiertas • Preguntas de Sondeo • Preguntas Cerradas • Recolectar la Información requerida. Liderar el diseño, el desarrollo y la implantación de proyectos y • Aclarar sus ideas. de TI a diferentes servicios de la de organización • Verificar laniveles exactitud lo que ha oído. TÉCNICAS PARA FORMULACIÓN DE PREGUNTAS PREGUNTAS DE SONDEO • ¿Por favor, explique qué está ocurriendo aquí? • ¿Por qué estos recipientes no están etiquetados? • ¿Qué quiere decir? • ¿Deme algunos ejemplos? • ¿Cómo funciona esto? • ¿Me va a decir algo más? Liderar el diseño, el desarrollo y PREGUNTAS ABIERTAS CERRADAS la implantaciónPREGUNTAS de proyectos y • ¿Dígame qué procedimiento sigue •a ¿Usted diligenció este formato? servicios de TI diferentes usted? niveles de la organización • ¿Esta es la caneca de los residuos? • ¿Muéstreme como funciona esto? • ¿Como procesa los resultados del ensayo? • ¿De donde viene este formato? • ¿Qué hace cuando ….? • ¿Quién trabajo con usted en esta inspección? • ¿Qué color de etiqueta va pegada a este tipo de recipiente? TALLER Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Consecución y registro de evidencias Criterios de Auditoría Contrastar Información Evidencias Liderar el diseño, el desarrollo y Hallazgo la implantación de proyectos y Conformidad servicios de TI a diferentes No Conformidad niveles de laObservación organización Conclusiones Consecución y registro de evidencias DIGA LO QUE HACE Liderar el diseño, el desarrollo y HAGA LO QUE DICE la implantación de proyectos y servicios de TI a diferentes niveles de la organización DEMUÉSTRELO El reporte de la no conformidad debe contener dos puntos a. Una observación que detalla completa y precisamente lo que fue visto o encontrado por el auditor. Esta observación debe ser atestiguada por la persona auditada para confirmar su exactitud b. Una referencia a la cláusula de la norma o documento del el diseño, el desarrollo y SistemaLiderar de Gestión la implantación de proyectos y servicios de TI a diferentes niveles de la organización La forma adecuada de establecer una no conformidad • ES UNA OBSERVACIÓN EXACTA DE LOS HECHOS • DIRIGE AL QUÉ, CUÁNDO DÓNDE Liderar el diseño, el desarrollo y • ES RECUPERABLE (TRAZABLE) la implantación de proyectos y serviciosLA deIMPLEMENTACIÓN TI a diferentes DE LA ACCIÓN • AYUDA A LOGRAR niveles de la organización CORRECTIVA TALLER Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Reunión de cierre OBJETIVO: Conseguir que el representante del área entienda las no conformidades y les dé solución. • Se presentan las observaciones y no Liderar el diseño, el desarrollo y conformidades. la implantación• de proyectos y Se establece a que numeral de la guía esta servicios de TI a la diferentes No conformidad niveles de la organización • Se recomienda realizarla tan pronto se termina de recolectar la información. Informe de auditoria CLASES DE INFORMES: • Completo. • Gerencial [ Conclusiones ] Liderar el diseño, el desarrollo y • laFortalezas destacables. implantación de proyectos y de TI a diferentes • servicios Debilidades críticas. niveles de la organización • Oportunidades de mejoramiento. Informe de auditoria Contenido del informe • • • • • • • • Información general de la auditoría • Identificación de la organización auditada • Objetivos y alcance • Criterios acordados • Período cubierto y la fecha • Equipo auditor • Representantes del auditado Liderar el diseño, el desarrollo y Resumen de la calificación obtenida la No implantación proyectos y Relación de Conformidadesde mayores y menores servicios de TI a diferentes Estadísticas niveles de la organización Perfil gráfico de desempeño Fortalezas del Sistema de Gestión Debilidades del Sistema de Gestión Conclusiones COMPETENCIA DE LOS AUDITORES Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización Competencia de los auditores • Ético: Imparcial, sincero, honesto y discreto. • De mentalidad abierta: dispuesto a considerar ideas o puntos de vista alternativos. COMPORTAMIENTO PERSONAL Los atributos personales contribuyen al desempeño exitoso de un auditor. Un auditor debería ser: • Diplomático: posee tacto en el trato con las personas. • Observador: activamente consciente del entorno físico y las actividades. • Perceptivo: situaciones. Consciente y capaz de entender y las • Versátil: capaz de adaptarse fácilmente a diferentes. Liderar el diseño, el desarrollo y • situaciones la implantación de proyectos y • Tenaz: persistente y orientado hacia el logro de los objetivos. servicios de TI a diferentes capaz de llegar a conclusiones oportunas con niveles de la• Decidido: organización base en razonamiento y análisis lógico. • Seguro de si mismo: capaz de actuar y funcionar independiente a la vez que interactúa eficazmente con otros. COMPETENCIA DE LOS AUDITORES ATRIBUTOS PERSONALES DEL AUDITOR Los atributos personales contribuyen al desempeño exitoso de un auditor. Un auditor debería ser: • Ético: Justo, veraz, sincero, honesto y discreto. • De mente abierta: dispuesto a considerar ideas o puntos de vista alternativos. • Diplomático: posee tacto en el trato con las personas. • Buen observador: informando en forma constante y activa de los alrededores físicos y actividades. • Perceptivo: Consciente instintivamente y capaz de Liderar el diseño, el desarrollo y entender las situaciones. la implantación de proyectos y • Versátil: capaz de adaptarse a situaciones diferentes. servicios de TI•Tenacidad: a diferentes persistente, enfocado en lograr objetivos. niveles de la organización • Decisivo: llega a conclusiones oportunas con base en razonamiento y análisis lógico. • Confiado en si mismo: actúa y funciona independiente mientras interactúa efectivamente con los demás. TALLER Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización TALLER 4: PLAN DE AUDITORIAS INICIO DE LA AUDITORIA Realización de la revisión de documentos • La documentación del auditado debe ser revisada para determinar la conformidad del sistema, según documentación, con el criterio de auditoria. Liderar el diseño, el desarrollo y la implantación de relevantes proyectosdel y sistema de gestión • Puede incluir documentos y registros servicios de TI a diferentes e informes de auditorias previas. niveles de la organización • Puede ser necesaria la realización de una visita preliminar del emplazamiento para tener una vista general apropiada de la información disponible. TECNICAS PARA FORMULACION DE PREGUNTAS PROPOSITO DE LAS PREGUNTAS • Recolectar la Información requerida. • Aclarar sus ideas. • Verificar la exactitud de lo que ha oído. Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a TIPOS diferentes DE PREGUNTAS niveles de la organización • Preguntas Abiertas AUDITOR: • Preguntas de Sondeo • POLICIVO O DE INSPECTOR • Preguntas Cerradas • PARTICIPATIVO. REUNIÓN DE APERTURA • Presentación oficial del equipo auditor. •Presentación del alcance y agenda. Liderar el diseño, el desarrollo y de base •Se presentan las reglas la implantación proyectos y de la de auditoria. servicios de TI a diferentes reconfirma que la auditoria es niveles de•Se la organización un proceso de muestreo. •No es necesario levantar acta de la reunión de apertura. LISTA DE HALLAZGOS Requisitos 4.5 / Accidente, No conformidades, Acciones correctivas y REGISTROS Existe un procedimiento para identificar, 1 conservar y eliminar los registros Medio Ambientales? Regulan estos procedimientos el tratamiento 2 de registros sobre cursos de capacitación, auditorias y revisiones por la gerencia? Donde se establece el tiempo de conservación 3 de los registros? Se asegura por medio de los registros y el tipo 4 de conservación y mantenimiento la conformidad con los requisitos de la norma? No. COMPROBACIONES S N Documentacion Como se aplica? x Documentado en un manual Distribuido 5 ejemplares Liderar el diseño,x el desarrollo y la implantación dex proyectos y Lista de registros de SGA. servicios de TI a diferentes niveles de la organización x 2= Conforme con ligeras desviaciones 3= No conforme 1 2 2 3 VALORACIÓN (V): 1= Conforme V 4= No Aplica RESULTADOS DE LA AUDITORÍA Hallazgo Resultados de la evaluación de la evidencia objetiva recopilada frente al conjunto de políticas, procedimientos o requisitos utilizados como referencia. Es registrado en la hoja de verificación como respuesta a los Liderar el diseño, el desarrollo y cuestionamientos que han sido preparados la implantación de proyectos y servicios de TI a diferentes niveles de la organización TENDENCIA A ESCRIBIR NO CONFORMIDADES LARGAS S & SO El cuarto que simula las condiciones de operación del sistema real que se tiene implementado en la práctica, es mantenido bajo condiciones controladas de temperatura con un termómetro que fue calibrado el 1 de enero de 2001 hasta una temperatura de 20°C en tanto que las condiciones ambientales superan este valor con un promedio de 25°C, lo cual indica Liderarestándar el diseño, el desarrollo y un error en el concepto de calibración de equipos contraviniendo el la implantación de proyectos requisito 3.1 del procedimiento PRC12 y servicios de TI a diferentes CONSECUENCIAS: Redacción confusa niveles de la organización No es clara la No Conformidad Se presentan detalles que agregan valor Fatiga al lector no NO CONFORMIDADES CON ENFOQUE DISPERSO O INCOHERENTE El plan de calidad de interventoria requiere que el 100% de los servicios prestados por los contratistas de mano el diseño, el desarrollo y de obra Liderar sean verificados la implantación de proyectos y telefónicamente; los requisitos de servicios de TI a diferentes inspección de instalaciones exigen de ladel organización una muestraniveles aleatoria 15% sin embargo se han aceptado valores de 5, 8 y 10% EXPRESIÓN DE OPINIONES No se realizó la evaluación de desarrollo semestral para evaluar el entrenamiento práctico con lo cual muchos de los problemas ambientales del área de producción pudieron originarse por esta causa. Lo anterior incumple el requisito 2.2 del procedimiento de entrenamiento. Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes CONSECUENCIAS: niveles de la organización Se expresan opiniones personales Se están suponiendo situaciones No hay evidencia objetiva en las suposiciones NO CONFORMIDADES DUDOSAS, VAGAS O TRIVIALES La auditoria ejecutada en febrero de 2.001 al área de mercadeo, establecida en el plan de auditoria QF 1916-1, no está de acuerdo con los requisitos de ISO 9001/2000 Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes CONSECUENCIAS: niveles de la organización No es precisa No se puede tomar acción frente a esta descripción REPETICIÓN DE LAS MISMAS O SIMILARES NO CONFORMIDADES Se encontró que el procedimiento PMV-001 del área comercial que tenía versión 2 en el listado maestro y el que se está usando es la versión 1 Las instrucciones e I 006 enycontrol de Liderar Iel005 diseño, elutilizadas desarrollo calidad tienen versión 3 yde 4 proyectos respectivamente, en el la implantación y listado maestro se presenta la versión 6 servicios de TI a diferentes niveles de la organización El plan de calidad para el proyecto de la zona del sur PS001 tiene fecha de aprobación el 5 febrero de 2.001 y en el listado maestro se le indica a ese documento la fecha de aprobación del 15 de abril de 2.001 INFORME DE LA AUDITORIA •El auditor líder prepara el informe de auditoria. •El informe como mínimo debe contener lo siguiente: •Alcance de la auditoria Liderar el diseño, el desarrollo y •Calificaciones del Auditor la implantación de proyectos y •Agenda de la auditoria servicios de TI a diferentes •Formularios de no niveles de la organización conformidad •Listas de chequeo empleadas Liderar el diseño, el desarrollo y la implantación de proyectos y servicios de TI a diferentes niveles de la organización