universidad tecnolÓgica ecotec. iso 9001:2008 definiciones generales politicas,procedimientos y...
TRANSCRIPT
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
DEFINICIONES GENERALES
POLITICAS,PROCEDIMIENTOS Y ESTÁNDARES
Ing. Sara Noriega D.DOCENTE UNIVERSIDAD ECOTEC
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
GENERALIDADES
• El sistema de cableado estructurado es tender cables de señal en una planta, edificio o campus de edificios de manera tal que cualquier servicio de voz, datos, video, audio, seguridad, control y monitoreo esté disponible desde y hacia cualquier roseta de conexión del edificio.
• Deben emplear una Arquitectura de sistemas abiertos (OSA) y soportar aplicaciones basadas en estándares como EIA/TIA-568ª, EIA/TIA-569, EIA/TIA-606, EIA/TIA-607, a fin de maximizar la velocidad, eficiencia y seguridad de la red.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
POLITICASPolítica = Lema y Principios de la Empresa
POLITICAS• Son principios generales o maneras de comprender, que guían y
canalizan el pensamiento y la acción en la toma de decisiones.
• Delimitan un área dentro de la cual debe decidirse y aseguran que las decisiones sean consistentes y contribuyan al logro de los objetivos o metas de la empresa.
• Las políticas reflejan la "personalidad" de la compañía. El tono y el lenguaje utilizados para los enunciados de las mismas serán percibidos como una política de la actitud de la administración hacia los empleados.
• Representa una tarea fundamental para la empresa fijar una política general y que en torno a esa política giren las políticas internas de cada departamento. Estas fijaciones nos permitirán trazar un camino a seguir.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
POLITICAS
Para ser efectivas, las políticas necesitan ser revisadas periódicamente para ajustarse a las necesidades cambiantes de la organización.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
PROCEDIMIENTOS• Describen en forma detallada y cronológica la forma como
deben desarrollarse las actividades de la empresa, participan todos los niveles y suelen ser rígidas en los niveles más bajos del personal y más flexibles en los niveles ejecutivos de la organización, ya que en los niveles menores se requieren controles más estrictos.
• Establecen un método habitual de manejar actividades futuras.
• En esencia, conforman una secuencia cronológica de las acciones requeridas.
• Los procedimientos, entre otros, tienen como objetivo entregar pautas de acción en los trabajos rutinarios y repetitivos, logrando con esto obtener mayor eficiencia, puesto que las actividades se ordenan de un solo modo.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
ESTÁNDARES
Son criterios establecidos contra los cuales pueden medirse los resultados, representan la expresión de las metas de planeación de la empresa o departamento en términos tales que el logro real de los deberes asignados puedan medirse contra ellos.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
MÁS DEFINICIONES IMPORTANTES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Qué es Criterio de Auditoría?
Son políticas, prácticas, procedimientos o requerimientos contra los que el auditor compara la información recopilada sobre la gestión de calidad.
Los requerimientos pueden incluir estándares, normas, requerimientos organizacionales específicos, y requerimientos legislativos o regulados.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Qué es la Evidencia de Auditoria?
• Es toda información, registros o declaraciones de hecho verificables.
• La evidencia de auditoría puede ser cualitativa o cuantitativa, es utilizada por el auditor para determinar cuando se cumple con el criterio de auditoria.
• La evidencia de auditoria se basa típicamente en entrevistas, revisión de documentos, observación de actividades y condiciones, resultados de mediciones y pruebas.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Qué son los Resultados de la Auditoría?
• Son los resultados de la evaluación de la evidencia de auditoría recopilada comparada contra los criterios de auditoria acordados.
• Los resultados de la auditoría constituyen la base para el reporte de la auditoría
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
ROLES Y PERFILES DE LOS AUDITORES
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Equipo Auditor
• Grupo de auditores, o un auditor individual, designados para desempeñar una auditoria dada.
• El equipo auditor puede incluir expertos técnicos y auditores en mejores prácticas.
• Uno de los auditores del equipo de la auditoria desempeña la función de auditor líder.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Perfil y Responsabilidades del Equipo Auditor
• Para asegurar la objetividad del proceso de auditoría, sus resultados y cualquier conclusión, los miembros del equipo auditor deben ser independientes de las actividades que auditan, deben ser objetivos, y libres de tendencia o conflicto de intereses durante el proceso.
• Los miembros del equipo auditor deben poseer una combinación apropiada de conocimientos, habilidades y experiencias para cumplir con las responsabilidades de la auditoría.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Auditor líder
Es el responsable de asegurar una conducta eficiente y efectiva de la auditoría dentro de los alcances de la misma. Sus responsabilidades y actividades a cumplir son:
a) Consultar y consensuar con el cliente el alcance de la auditoría. b) Obtener la información de respaldo relevante como ser los detalles de actividades, los productos, los servicios, en la empresa y sus áreas de actuación, los detalles de previas auditorias realizadas al auditado. c) Formación del equipo auditor. d) Dirigir las actividades del equipo auditor. e) Preparar las comunicaciones. f) Coordinar la preparación de los documentos y procedimientos detallados de trabajo y reunir al equipo auditor. g) Representar al equipo auditor en discusiones con el auditado, antes, durante y después de la auditoría. h) Realizar los informes de la auditoría para el cliente.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Auditor
• a) Planear y desarrollar las tareas asignadas, objetiva, efectiva y eficientemente
•b) Recopilar y analizar las evidencias de auditoría relevantes y suficientes para determinar los resultados de la auditoría.
•c) Preparar los documentos de trabajo.
•d) Documentar los resultados individuales de la auditoría.
•e) La redacción del informe de auditoria. A cada miembro del equipo auditor se le asignan tareas específicas, o actividades por auditar. Estas designaciones deben ser realizadas por el auditor líder.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Responsabilidades del Cliente y Auditado a) Definir los objetivos de la auditoría
b) Proveer los recursos a las autoridades apropiadas para conducir la auditoría.
c) Aprobar el plan de auditoria
d) Recibir el informe de la auditoría y determinar su distribución
e) Informar a los empleados de los objetivos y alcance de la auditoria, cuando sea necesario.
f) Designar el personal responsable y competente para acompañar a los miembros del equipo auditor, para actuar como guías dentro de la empresa.
g) Proveer el acceso a las instalaciones, personal, información y registros relevantes a solicitud de los auditores.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Alcances de la Auditoria
El alcance debe ser determinado entre el cliente y el auditor líder.
El auditado normalmente debe ser consultado cuando se determina el alcance de la auditoría.
Cualquier cambio posterior al alcance de la auditoria debe realizarse de común acuerdo entre el cliente y el auditor líder.
Los recursos encargados al auditor deben ser suficientes en cantidad y calidad para cumplir con el alcance requerido.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Plan de Auditoria
Un plan de auditoria debe ser establecido y comunicado al cliente.
El cliente debe revisar y aprobar dicho plan.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Plan de Auditoriaa) Los objetivos y alcance de la auditoria
b) El criterio a ser usado para la realización de la auditoría
c) La identificación de las unidades organizacionales y funcionales a ser auditadas.
d) Identificación de los documentos de referencia.
e) El tiempo y duración esperados para las entrevistas e inspecciones.
f) Las fechas y lugares donde se va a realizar la auditoria.
g) El Cronograma de reuniones que se van a tener con la gerencia del auditado.
h) Requerimientos confidenciales.
i) El contenido, formato y estructura del informe.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Qué son los Documentos de Trabajo ?
• Son documentos requeridos para facilitar la investigación del auditor. Deben contener lo siguiente:
a) Las formas que documenten las evidencias y soporten los resultados de la auditoría.
b) Los procedimientos y listados de chequeo utilizados para evaluar los diferentes procesos.
c) Los registros de reuniones.
Se deben mantener los documentos de trabajo por lo menos hasta que se complete la auditoría, la información confidencial debe ser resguardada de forma segura por los miembros de la auditoria
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Actividades a ser realizadas en el lugar
de la auditoría • Reunión de Inicial
El propósito de una reunión Debe darse una de apertura es :
a) Presentar a los miembros del equipo auditor a la gerencia del auditado.
b) Revisar el alcance, los objetivos y el plan de auditoria y llegar a un acuerdo con respecto a la tabla de tiempos de la auditoria.
c) Proveer un resumen corto de la metodología y de los procedimientos a ser utilizados durante la auditoría.
d) Confirmar que los recursos y facilidades necesitadas por el equipo auditor estén disponibles.
e) Promover la participación activa del auditado,
f) Revisar los procedimientos de seguridad y emergencia relevantes del local para el equipo auditor.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Actividades a ser Realizadas en el lugar
de la auditoría • Detección de la Evidencia
La información apropiada debe ser recopilada, analizada, interpretada y documentada para ser utilizada como evidencia de la auditoria en un proceso de verificación y evaluación para determinar si los criterios de la auditoría se están cumpliendo.
La evidencia de la auditoria debe ser de tal calidad y cantidad que auditores de calidad competentes, trabajando independientemente cada uno, lleguen a resultados de auditoría similares a la evaluación de la misma evidencia contra los mismos criterios de auditoría.
La evidencia de la auditoría debe ser recolectada por medio de entrevistas, revisión de documentos y la observación de actividades y condiciones.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Actividades a ser Realizadas en el lugar de la auditoría
• RESULTADOS DE LA AUDITORIA
El equipo auditor debe revisar toda la evidencia de la auditoria para determinar donde no se cumple con los criterios de auditoria
Debe asegurarse que los resultados de la auditoria de no conformidad sean documentados de forma clara, concisa y que sean respaldados por la evidencia de la auditoría.
La evidencia contrastada durante la auditoria de calidad inevitablemente será solamente una muestra de la información disponible, parcialmente debido al hecho de que una auditoría de calidad se realizada durante un periodo de tiempo limitado y con recursos limitados.
Debe obtener suficientes evidencias para que los resultados individuales de la auditoria, agregados a los resultados de menor significado, puedan afectar cualquier conclusión alcanzada.
Los resultados de la auditoría deben ser revisados con la gerencia del auditado con el fin de obtener el reconocimiento de la base de todos los resultados de no confornidad.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Actividades a ser Realizadas en el lugar
de la auditoría • REUNIÓN FINAL
– Luego de completar la fase de recopilación de evidencia y antes de preparar un informe de la auditoria, los auditores deberán tener una reunión con la gerencia del auditado y aquellos responsables de las funciones auditadas.
– El propósito principal de esta reunión es el de presentar los resultados de la auditoria al auditado, de tal manera que se tenga una comprensión y reconocimiento claro de la base de dichos resultados.
Los desacuerdos deben ser resueltos, si es posible antes de que el auditor líder presente el informe, las discusiones finales en el significado y descripción de los resultados de la auditoria ultima recaen en el auditor líder, sin embargo el cliente puede todavía estar en desacuerdo con los resultados.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Actividades Posteriores al Trabajo en la Empresa
• INFORMELos resultados de la auditoría o resumen de éstos deben ser comunicados formalmente al cliente en un informe escrito.
El informe escrito se prepara bajo la dirección del auditor líder, quien es el responsable de su exactitud y perfección.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Informe
• La información relativa a la auditoria que se debe incluir en el informe debe incluir, pero no está limitada a:
a) La identificación de la organización auditada y del cliente. b) Los objetivos y alcance acordados de la auditoría. c) Los criterios acordados contra los que se realizó la auditoría. d) El período cubierto por la auditoria, e) La(s) fecha(s) en que la auditoria fue realizada, f) La identificación del equipo auditor, g) La identificación de los representantes del auditado que participaron en la auditoría. h) Un resumen del proceso de auditoria, incluyendo cualquier obstáculo enfrentado. i) Las conclusiones de la auditoría. j) Las declaraciones de confidencialidad de los contenidos. k) La lista de distribución del informe de la auditoría.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Valoración del Riesgo de Control Interno
• El control interno es definido como un proceso efectuado por los miembros de la dirección, la gerencia y otras personas, designadas para proveer seguridad razonable respecto al cumplimiento de los objetivos en los siguientes temas:
Eficiencia y efectividad en las operaciones (incluye metas de desempeño y rentabilidad)Nuestra práctica de consultoría está enfocada en dos servicios fundamentales para la valoración del Control Interno: La Auditoría de Procesos y la Auditoría de Sistemas.Además como parte de las acciones que se tienen que implementar para mitigar los riesgos está la valoración y establecimiento del Plan de Continuidad de Negocio (BCP).
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
DEFINICIÓN DE AUDITORIA DE SISTEMAS
• Es la revisión que se dirige a evaluar los métodos y procedimientos de uso en una entidad, con el propósito de determinar si su diseño y aplicación son correctos; y comprobar el sistema de procesamiento de información como parte de la evaluación de control interno; así como para identificar aspectos susceptibles de mejorarse o eliminarse.
• Comprende la revisión y evaluación de todos los aspectos de los sistemas de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
OBJETIVOS GENERALES • Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados
diseñados e implantados IT.
• Incrementar la satisfacción de los usuarios de los sistemas computarizados .
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos, hardware, software e infraestructura.
• Apoyo de función informática a las metas y objetivos de la organización.
• Disponibilidad, seguridad, utilidad y confianza en el ambiente informático. • Minimizar existencias de riesgos en el uso de tecnología de información.
• Decisiones de inversiones y gastos innecesarios.
• Capacitación y educación sobre controles en los Sistemas de Información.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Justificativos para efectuar una Auditoría de Sistemas
• Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
• Desconocimiento en el nivel directivo de la situación informática de la empresa .
• Falta total o parcial de seguridades físicas y lógicas que garanticen la integridad del personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador
• Falta de una planificación informática
• Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los
resultados.
• Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
FIN DE LA PRESENTACIÓN
PREGUNTAS
E
INQUIETUDES