Curso Auditor Interno Sistema de Gestión de la Seguridad

para la Cadena de Suministros

NTC-ISO28000:2007

Curso Auditor Interno Sistema de

Gestión de la Seguridad para la
Cadena de Suministro NTC-
ISO28000:2007

Taller / Ejercicios

Nombre y
Francisco Javier Verastegui Muñoz
Apellidos
Fecha 27 de Junio del 2018
Email fjverasteguim@gmail.com
Celular 322 366 3061
Código 74640

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 1

RAZONES PARA IMPLEMENTAR LA ISO 28000 EN MI ORGANIZACIÓN

Utilizando la información suministrada en el Curso, determine 3 Ventajas

y Justifique las razones para implementar la norma ISO 28000 en su
organización.

VENTAJA 1_Reduccir los costos_

JUSTIFICACION: Como en toda empresa, lo importante es

reducir costos para incrementar los márgenes de ganancias; al
implementar esta norma se van a corregir fallas y evitar la
remanufacturacion.

VENTAJA 2 _Mejorar la seguridad_

JUSTIFICACION: Se incrementa la confianza de los clientes en

la compañía, se asegura la cadena de suministro.

VENTAJA 3 _Ventajas competitivas_

JUSTIFICACION: Certificarse en esta norma hace que la

empresa se vuelva más competitiva en el mercado ya que ofrece
más confiabilidad a los clientes.

EJERCICIO 2

PRINCIPIOS ISO

 Identifique 3 Principios de la Gestión ISO y descríbalos en sus

propias palabras.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

PRINCIPIO 1 __Enfoque al cliente__

DESCRIPCCIÓN: Este principio hace que las empresas se

orienten hacia las necesidades e inquietudes que se presenten
durante la prestación del servicio con el cliente.

PRINCIPIO 2 __Compromiso de las personas__

DESCRIPCCIÓN: Corresponde a la responsabilidad y sentido de

pertenencia que tienen las personas para con la organización.

PRINCIPIO 3 __Mejora__

DESCRIPCCIÓN: Se basa en el mejoramiento continuo de los

procedimientos de la organización para evitar falencias en los
suministros.

EJERCICIO 3

CADENAS DE SUMINISTROS

En sus Propias Palabras indique, ¿Que es una Cadena de Suministros?

Son todos los procesos y recursos gestionándose en conjunto, que

inician desde la obtención de los insumos hasta el producto
terminado y entregado al cliente final, incluye todos los agentes que
intervengan en cada proceso.

EJERCICIO 4

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

CADENAS DE SUMINISTROS

Según su Experiencia y lo visto en el Curso, está de acuerdo o no con

Michael Porter, cuando indica que “En el Futuro la competencia no será
de empresa a empresa, sino más bien, de Cadena de Suministros a
Cadena de Suministros”

Si, estoy de acuerdo con la frase que se expone; considero que hoy
en día las empresas están considerando costos, calidad,
optimización de tiempos y seguridad de sus procesos, desde el inicio
de su obtención de materias primas hasta el momento en que se
entregan a sus clientes y más allá. Las organizaciones con mejores
cadenas de suministros serán quienes tengan los mejores clientes y
mayores márgenes de ganancias.

EJERCICIO 5

CADENAS DE SUMINISTROS / PARTES INTERESADAS (INTERNAS / EXTERNAS)

Su Empresa está Vinculada al Comercio internacional y presta Servicios

de Almacenamiento y Distribución.

 De acuerdo con la siguiente Cadena de Suministro, Indique 2

Partes Interesadas Internas, 2 Partes Interesadas Externas y
Justifique porque la organización debería tenerlas en cuenta en
su SGSCS.
 De acuerdo con la siguiente Cadena de Suministro, Indique que
Partes Interesadas se encuentran Aguas Arriba y Aguas Abajo de
su empresa.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

1. PARTES INTERESADAS INTERNAS

No 1: Centro de distribución

JUSTIFICACION: Este punto se tiene en cuenta debido a la existencia de

riesgos que afectan la seguridad de la mercancía y de paso poner en juego el
nombre de la compañía.

No 2: Transporte

JUSTIFICACION: Igual que en la justificación anterior, en este puesto se

pone en juego el nombre de la empresa si no se tienen los controles
respectivos se puede llegar a transportar mercancía ilícita.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

PARTES INTERESADAS EXTERNAS

No 1: Comprador / Consumidor

JUSTIFICACION: Se busca que los clientes se sientan satisfechos con los

servicios contratados, al no tener un control del riesgo en este punto se
puede incurrir en la pérdida del cliente.

No 2: Tiendas

JUSTIFICACION: Al no tener los controles necesarios se puede incurrir en

muchos riesgos, se necesitan intervenciones pertinentes para que las
operaciones se hagan legalmente.

2. PARTES INTERESADAS AGUAS ARRIBA / AGUAS ABAJO

AGUAS ARRIBA

No 1 Centro de distribución.

No 2 Transporte.

AGUAS ABAJO

No 1 Consumidor.

No 2 Tienda.

EJERCICIO 6

La Norma NTC-ISO 28000 es utilizada para cumplir varias Normas y

Reglamentos que están relacionados con la Cadena de Suministros
Internacional. ¿Indique al menos 4 Normas o Reglamentos que una
empresa vinculada al Comercio Internacional debe cumplir?

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

No 1: Resolución 4050 de 1994 – Reglamenta examen de ingreso al

trabajo y los exámenes periódicos y de egreso.
No 2: Decreto 1295 de 27 de junio de 1994 – Ministerio de la
protección social.
No 3: Decreto 1772 de 3 de agosto de 1994 – Afiliar a los
trabajadores al sistema general de seguridad social.
No 4: Decreto 1973 de 1995 – Por el cual se promulga el convenio
170 sobre la seguridad en la utilización de los productos químicos.

EJERCICIO 7

CLAUSULA 4 ELEMENTOS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD

Numeral 4.1 REQUISITOS GENERALES

Según la Norma NTC-ISO28000 que aspectos deben cumplirse en este

Numeral?

No 1: Establecer un sistema en la gestión de seguridad.

No 2: Implementar un sistema de gestión de la seguridad.

No 3: La organización debe valorar los riesgos y controlar sus

consecuencias.

No 4: La organización debe documentar y mejorar continuamente un

sistema de gestión de la seguridad.

EJERCICIO No 8

CLAUSULA 4.2 POLITICA DE SEGURIDAD

Tomando como referencia lo indicado en este Numeral Redacte una

Política con enfoque de Seguridad en la Cadena de Suministros para su
organización.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO No 9

CLAUSULA 4.3 VALORACION DEL RIESGO Y PLANEACION

NUMERAL 4.3.1 VALORACION DEL RIESGO DE SEGURIDAD

Determine los riesgos y vulnerabilidades asociadas con las siguientes

situaciones e indique los posibles impactos.

AMENAZAS RIESGOS VULNERABILIDADES IMPACTOS

El ex-director de Fuga de Que la Alto
seguridad de la información información
empresa es privada hacia privada este en la
contratado por la la competencia.
competencia competencia.

La policía Tráfico de Contaminación de Alto

sospecha que un armas y las cargas de los
grupo terrorista posibilidades clientes.
utiliza la cadena de generar un
de suministro conflicto
como medio de interno.
contrabando de
armas ilegales
hacia dentro y

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

fuera del país

La Delincuencia Venta de Hurto. Alto
Común ha material
hurtado 3 hurtado y
Vehículos y su piratería.
Carga ( TV /
Celulares /
Ipads) en menos
de una semana
a la salida de
Buenaventura
Los puertos de Decomiso de Contaminación de Alto
embarque de la los insumos de las cargas.
mercancía de los clientes y
exportación de tráfico de
la empresa narcóticos.
presentan un alto
índice de
contaminación
de la carga con
narcóticos
El deposito de Robo de la Robo Alto
almacenamiento mercancía.
y distribución de
mercancías de la
empresa está
ubicado en un
sector con alto
índice de
delincuencia
común
Los Daños, Robo Alto
Contenedores de perdidas por
Exportación son robo o tráfico
dejados en de narcóticos.
Parqueaderos
que no cuentan
con barreras
perimetrales y
CCTV

Para las amenazas y riesgos identificados la Matriz Anterior, proponga 2

controles de seguridad que podrían mitigar el riesgo.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

AMENAZAS RIESGOS CONTROLES DE SEGURIDAD

El ex-director de Divulgación de Clausula penal en el contrato al
seguridad de la información empleado donde se especifique la
empresa es privada a la no divulgación de información
contratado por competencia. confidencial.
la competencia
La policía Tráfico de Mayor control en aduanas e
sospecha que un armas y incrementar las inspecciones.
grupo terrorista posibilidades
utiliza la cadena de generar un
de suministro conflicto
como medio de interno.
contrabando de
armas ilegales
hacia dentro y
fuera del país
La Delincuencia Venta de Mayor vigilancia al momento de
Común ha material entrar o salir de los puertos.
hurtado 3 hurtado y
Vehículos y su piratería.
Carga ( TV /
Celulares /
Ipads) en menos
de una semana
a la salida de
Buenaventura
Los puertos de Decomiso de Mayor control y revisión de las
embarque de la los insumos de personas contratadas por la
mercancía de los clientes y compañía para que no haya
exportación de tráfico de contaminación de la carga.
la empresa narcóticos.
presentan un
alto índice de
contaminación
de la carga con
narcóticos
El depósito de Robo de la Vigilancia y escoltas para la
almacenamiento mercancía. mercancía cuando esta sea de
y distribución de gran valor.
mercancías de
la empresa está

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

AMENAZAS RIESGOS CONTROLES DE SEGURIDAD

ubicado en un
sector con alto
índice de
delincuencia
común
Los Daños, Hacer uso de parqueaderos
Contenedores perdidas por establecidos por la empresa y
de Exportación robo o tráfico solicitar que estos tengan altos
son dejados en de narcóticos. niveles de seguridad.
Parqueaderos
que no cuentan
con barreras
perimetrales y
CCTV

Numeral 4.3.2 REQUISITOS LEGALES Y REGLAMENTARIOS

Identifique 5 Requisitos Legales que una organización vinculada al

Comercio Internacional debe Cumplir como miras a garantizar la
Seguridad de su Cadena de Suministros.

No 1: Siempre tener actualizada la información de la empresa.

No 2: Mantener comunicación activa de información pertinente sobre

los requisitos legales.
No 3: Comunicar a sus empleados.

No 4: Comunicar información pertinente a los contratistas.

No 5: Comunicar información pertinente a transportistas.

Numeral 4.3.3 y 4.3.4 OBJETIVOS Y METAS DE SEGURIDAD

Tomando como referencia la Política de Seguridad planteada en el

Ejercicio No 8, Plantee 3 Objetivos de Seguridad con sus
correspondientes metas e indicadores.

OBJETIVO META INDICADOR

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Numeral 4.3.5 PROGRAMAS DE GESTION DE LA SEGURIDAD

Según la Norma NTC-ISO28000, ¿Señale 3 aspectos que según su

criterio, son los que revisten mayor importancia en este Numeral?

EJERCICIO No 10

No 1: La administración siempre debe de estableces, implementar y

mantener sus programas de gestión de seguridad para objetivos y
metas.
No 2: Los programas deben de implementarse y priorizarse.
No 3: La empresa debe dar uso a los costos de manera eficiente y
eficaz implementando la seguridad.

CLAUSULA 4.4 IMPLEMENTACION Y OPERACIÓN

NUMERAL 4.4.1 ESTRUCTURA Y RESPONSABILIDAD PARA LA GESTION DE LA

SEGURIDAD.

Según la Norma NTC-ISO28000, La Alta Dirección debe proporcionar

evidencia de su compromiso con el desarrollo e implementación de los
procesos del Sistema de Gestión de la seguridad y mejorar
continuamente su eficacia.
¿Indique al menos 5 acciones con las cuales la Alta dirección
demostraría evidencia de su compromiso?

No 1: Nombrar miembros directivos con autoridad necesaria para

certificar que se implementen en los objetivos y metas.
No 2: Garantizar que estén disponibles los recursos necesarios.
No 3: Dar aviso a toda la organización en la importancia de cumplir
con los requisitos de gestión de seguridad a fin de cumplir su
política.
No 4: Garantizar la viabilidad de las metas, objetivos y programas
de gestión de la seguridad.
No 5: Identificar los requisitos y expectativas de las partes
interesadas.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

NUMERAL 4.4.2 COMPETENCIA, FORMACION Y TOMA DE CONCIENCIA.

En este numeral la norma NTC-ISO28000, nos indica que la organización

y las personas deben ser conscientes de:

Su grado de importancia en los cumplimientos de las políticas y

operaciones de gestión de seguridad y los resultados potenciales
que tiene la seguridad en la organización.

NUMERAL 4.4.4 DOCUMENTACION

Indique cuales son los documentos mínimos que debe tener el Sistema
de Gestión de la Seguridad

Son todos los archivos o documentación que se incluyen en los

registros determinados por la compañía como necesarios.

NUMERAL 4.4.6 CONTROL OPERACIONAL

¿Qué se debe tener en cuenta cuando se actualicen las disposiciones

existentes, o se introduzcan nuevas que puedan causar impacto en las
operaciones y actividades de gestión de la seguridad?

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Dsdfsdfdsf

NUMERAL 4.4.7 PREPARACIÓN Y RESPUESTA ANTE EMERGENCIAS Y

RECUPERACIÓN DE LA SEGURIDAD

¿Con base a que deben estructurarse los Planes de Emergencia y Cuál

es su objetivo fundamental?

EJERCICIO No 11

CLAUSULA 4.5 VERIFICACIÓN Y ACCION CORRECTIVA

NUMERAL 4.4.2 EVALUACION

¿Según la Norma Según la Norma NTC-ISO28000, que aspectos se

deben evaluar en este numeral?

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

En el numeral 4.5.2 que pertenece a la valoración del sistema, es

claro en detallar que la organización debe valorar:
Los planes, ordenamientos y capacidades de la gestión de
seguridad; así como también evaluar de carácter constante la
conformidad con la reglamentación y las ordenaciones pertinentes,
las mejores prácticas de la industria y consentimiento con su propia
política y objetivos.

NUMERAL 4.5.5 AUDITORIA

En este Numeral la Norma NTC-ISO28000 indica, que las auditorias del

sistema de gestión de la seguridad se lleven a cabo en intervalos
planeados, para:

*Confirmar el despliegue correcto del personal de seguridad y los

equipos correspondientes.
*Dar los informes correspondientes a la dirección de los resultados
obtenidos en las auditorias.
*Repasar los resultados anteriores de las auditorias y correcciones
tomadas para verificar no conformidades.
* Determinar que el sistema de gestión de la seguridad está
cumpliendo y mantiene adecuadamente con las disposiciones
planteadas para la gestión de seguridad incluyendo los requisitos de
la cláusula No. 4.

EJERCICIO No 12

CLAUSULA 4.6 REVISION POR LA DIRECCION Y MEJORA CONTINUA

Explique la importancia del ejercicio de la Revisión por la Dirección con

relación a la Gestion de la Seguridad de la Cadena de Suministros.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Es un instrumento de gran valor para la mejora del sistema de

gestión de la seguridad instituido y para certificar su eficacia. A
través de la evaluación y estudio de las diferentes entradas como
cambios en el sistema, modificación del contexto, cambios en las
necesidades y expectativas de las partes interesadas, estado de la
resolución de las no conformidades detectadas, etc., se pueden
tomar decisiones y cambios para mejorar el sistema, contribuyendo
valor al mismo. El alcance de la alta dirección en el sistema, en el
avance continuo y en el logro de los resultados deseados.

EJERCICIO 13
ETICA

Para cada situación de la siguiente lista, explique cómo actuaria siendo

auditor interno ISO 28000.

1) El auditado solicita su permiso para utilizar las notas de la auditoria

para crear un caso de estudio sobre cómo se llevó a cabo la
auditoria. El caso de estudio sólo será utilizado internamente y no
se mencionarán nombres.

No le permitiría que utilice las notas, el conoce como se realiza la

auditoria y todo el proceso que se lleva a cabo.

2) El auditado es una empresa de computación y le regalan a usted

una de sus más modernas computadoras que tienen un valor de
venta a consumidor final de USD 3000. El auditado le asegura que
sus costos de producción son significativamente menores.

Uno como auditor debe tener profesionalismo y no recibir esos

detalles ya que me estaría comprometiendo a dar buenos
resultados.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

3) Durante la hora del almuerzo, el auditado le paga a usted una

costosa y deliciosa comida en un restaurante. Usted no está
seguro si quiere impresionarlo, hacerle perder tiempo o ambos.

Lo primero que se debe de hacer es establecer los horarios de

almuerzos o descansos; si paga mi comida, lo único que le daría son
las gracias y seguir con las actividades estipuladas.

4) Usted descubre una gran cantidad de fotos de pornografía

infantil en uno de los servidores de la organización

Inicialmente se informaría a los altos mandos de la empresa sobre

el mal uso que se está dando al computador y las redes
informáticas de la compañía, también informar a la policía para que
tome las medidas correspondientes.

5) Usted descubre una no conformidad durante la auditoria de una

organización pequeña. Usted cree que esta no conformidad
ocurrió porque el empleado responsable hacia poco tiempo que
había sido contratado y no tenía la experiencia suficiente. Usted
tiene la firme sospecha de que, si usted informa de esta no
conformidad, el más alto ejecutivo de la organización, un hombre
muy fácilmente irritable, se pondrá furioso y despedirá
inmediatamente al empleado.

Al ser una conformidad no menor, esta se puede notificar y

manejar de inmediato para que el empleado no tenga ningún
problema.

EJERCICIO 14

EVIDENCIA EN UNA AUDITORIA

Determine cómo se verificaría cada uno de los siguientes

requisitos. Señale por lo menos 2 elementos de evidencia para
cada requisito e indique claramente el tipo de evidencia.

www.consultorgo.co
Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

1. Política de gestión de la seguridad (4.2k): La política

deberá: k) estar disponible para las partes interesadas
cuando sea apropiado.

2. Metas de gestión de seguridad (4.3.4d): Estas metas

deberán ser: d) revisadas periódicamente para garantizar
que se mantienen relevantes y consistentes con los objetivos
de la gestión de seguridad. Donde sea necesario, deberán
ser enmendadas adecuadamente.

3. Estructura, autoridad y responsabilidades para la gestión de

seguridad (4.41 f): La alta dirección deberá proveer
evidencia de su compromiso con el desarrollo e
implementación del SGSCS y continuamente mejorar su
efectividad: f) deberá garantizar que cualquier programa
de seguridad generado por otras partes de la organización
complemente el SGSCS.

4. Control de documentos y datos (4.4.5 f): La organización

deberá establecer y mantener procedimientos para
controlar todos los documentos, datos e información
exigidos en el numeral 4 de esta norma internacional para

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

garantizar que: f) estos documentos, datos e información

sean seguros, y, si se encuentran en formato electrónico,
deberán tener copia de seguridad adecuada y deberán
poder ser recuperados.

EJERCICIO 15

REVISION DE LA DOCUMENTACION

Revise los siguientes documentos del SGSCS de la organización en el

caso de estudio. Determine y explique si estos documentos cumplen
con los requisitos mínimos de la ISO 28000

1. POLITICA DEL SGSCS

Cumple con los con los riesgos de accidentes y enfermedades en el

trabajo, menciona los cumplimientos de los requisitos legales y
peligros con su logística, identifica mejora continua en sus objetivos
y la política es coherente con otras políticas organizacionales. Tiene
una no conformidad por no tener documentada su política.

2. DEFINICION DE LOS OBJETIVOS Y METAS DE SEGURIDAD

Sus objetivos son coherentes con sus políticas, cumplen con el

procedimiento establecido y con la capacitación del personal, logran
mejora continua y mantiene la calidad de los procesos de la
garantía.

3. PROCESO DE GESTION DE INCIDENTES RELACIONADOS CON

EL SGSCS

Realizar gestión de los riegos mediante seguimientos en los

cumplimientos de sus objetivos, metas y políticas en la gestión de la
seguridad.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

4. DESCRIPCION DE LA FUNCIONES DEL REPRESENTANTE DEL

SGCS

Son diez funciones las que se plantean, sin embargo, se debe de

agregar que deberá de llevar indicadores de cumplimiento y mejora
continua.

5. REVISION POR LA DIRECCION

Concluyeron que se cumple con el programa con los indicadores de

objetivos y metas en un 92% y 87%; sin embargo, deciden realizar
revisiones profundas para evitar que se incumpla con las mejoras
continuas y no caiga el sistema de gestión dentro de la empresa.

EJERCICIO 16

LLEVAR A CABO UNA REUNION DE APERTURA

Basado en el caso de estudio, prepare una reunión de apertura para la

auditoria a la organización.

 Preparar plan de reunión (Lista de verificación )de apertura

Hoja membretada, versión numerológica de la auditoria, objetivos,

criterios, nombre del auditor y responsable de la auditoria.

EJERCICIO 17

ENTREVISTA CON LA GERENCIA CORPORATIVA

Elabore lista de verificación ISO 28000 para entrevista de auditoria al

Gerente corporativo de la organización en el caso de estudio

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

4.1 Requisitos legales, 4.2 Política gestión de la seguridad, 4.3

Evaluación riesgo y planificación, 4.3.2 Requisitos de seguridad
legales, estatutarios y otros regulatorios 4.3.3 Objetivos de gestión
de la seguridad.

EJERCICIO 18

REALIZAR UNA ENTREVISTA (PARTE 1)

Elaborar lista de verificación ISO 28000 para la auditoria a la oficina

general de la organización en el caso de estudio.

CRITERIO
AUDITORIA EVIDENCIA DOCUMENTO / REGISTRO

OBSERVACION

DOCUMENTO

ENTREVISTA

VERIFICACION
TECNICA

ANALISIS

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 19
REALIZAR UNA ENTREVISTA (PARTE 2)

Elaborar lista de verificación ISO 28000 para la auditoria a la segunda

oficina en importancia de la organización en el caso de estudio.

CRITERIO
AUDITORIA EVIDENCIA DOCUMENTO / REGISTRO

OBSERVACION

DOCUMENTO

ENTREVISTA

VERIFICACION
TECNICA

ANALISIS

EJERCICIO 19

CREAR LISTA DE VERIFICACION E INFORMES DE NO CONFORMIDAD

Parte 1: Preparación de una lista de verificación

Prepare una lista de verificación de auditoria para validar el siguiente

criterio de auditoria, identificando los diferentes procedimientos de
auditoria aplicables.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Evaluación del Sistema (4.5.2)

La organización deberá evaluar los planes, procedimientos y

capacidades de la gestión de la seguridad mediante revisiones,
pruebas, informes post-incidentes, lecciones aprendidas, evaluaciones
de desempeño y ejercicios periódicos. Los cambios significativos en
estos factores deberán estar reflejados inmediatamente en el/los
procedimiento(s).

La organización deberá evaluar periódicamente la conformidad con la

legislación y reglamentos relevantes, con las mejores prácticas de la
industria y con su propia política y objetivos.

La organización deberá llevar registros de los resultados de las

evaluaciones periódicas.

CRITERIO
AUDITORIA EVIDENCIA DOCUMENTO / REGISTRO

OBSERVACION

DOCUMENTO

ENTREVISTA

VERIFICACION
TECNICA

ANALISIS

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Parte 2. Redacción de informes de no conformidad

Utilizando el caso de estudio redacte un informe de 2 no conformidades

(mayor y menor) que usted haya identificado en la auditoría
documental.

INFORME DE NO CONFORMIDAD # 1
Cliente de auditoria
Proceso / Dominio
Criterio de la auditoria ISO 28000

Descripción de la no conformidad observada:

La empresa en su proceso comercial no está solicitando los

documentos legales requeridos por la norma ISO 28000, adicional los
documentos tienen fechas mayores a 7 años, nos son documentos
actualizados internamente no están realizando este tipo de
verificación de clientes y proveedores.

Auditor: Lorena Garcia Inmediato Superior Categoría:

Fecha: 27 de Enero del del auditado
2018 NC Mayor

NC Menor

EJERCICIO 20

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

ANALISIS DE LAS CONCLUSIONES DE LA AUDITORIA CON LA DIRECCION

Redacte el informe de las conclusiones de la auditoria documental

realizada a la alta dirección de la organización.

EJERCICIO 21
REUNION DE CIERRE

Prepare una lista de verificación para llevar a cabo la reunión de cierre

de auditoria con la dirección de la organización. (Asiste Todo el
Personal)

EJERCICIO 22
EVALUACION DE LAS ACCIONES CORRECTIVAS

Usted ha recibido una planificación de acciones correctivas. Evalúe si

las acciones correctivas propuestas son adecuadas.
Si usted está de acuerdo con las acciones correctivas, explique por
qué?

¿Si usted no está de acuerdo, explique por qué no y proponga cuáles

cree usted que serían las acciones correctivas adecuadas?

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

1. Se ha observado una no conformidad porque varios empleados del

turno de la noche a veces se olvidan cerrar con llave la puerta principal
de la oficina cuando se retiran. Dado que ellos terminan su turno de
trabajo a las 6:00 a.m. y el siguiente empleado llega a las 9:00 a.m., la
puerta principal de la oficina puede llegar a permanecer sin llave
durante 3 horas.

Respuesta del auditado:

Causa Intrínseca: Los empleados no están lo suficientemente

conscientes de los temas de seguridad

Acción Correctiva: Enviar una carta a todos los empleados del turno de
la noche, informándoles de sanciones disciplinarias si este evento vuelve
a suceder. (Marco temporal: inmediatamente)

2. Se ha observado una no conformidad porque un técnico que traía

una copia de seguridad de un CD al segundo sitio de la empresa
ubicado a 3 kms de distancia del primer sitio no siguió el procedimiento
que consiste en colocar la copia de seguridad del CD en la caja de
seguridad (no hay caja de seguridad en el segundo sitio de la
compañía). Por lo tanto, dejó la copia de seguridad en un cajón sin
llave. Sumado a esto, un CD no es destruido cuando se completa su
vida útil (simplemente es arrojado a la basura).

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Respuesta del auditado

Causa intrínseca: El procedimiento de destrucción de los medios

digitales es informal y no está por escrito.

Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de

la organización y establecer un procedimiento de destrucción para los
medios digitales. (Marco temporal: Dentro de 3 meses)

3. Se ha observado una no conformidad porque el equipo de

Recursos Humanos no era consciente del procedimiento que les
obliga a validar todas las referencias de todos los futuros
empleados antes de contratarlos.

Respuesta del auditado

Causa Intrínseca: Hay muchos puestos vacantes en el departamento de

Recursos Humanos y el personal está sobrecargado de trabajo

Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6

meses al personal de Recursos Humanos respecto de este
procedimiento y hacer que cada miembro del equipo lo cumpla.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

4. Se ha observado una no conformidad porque un empleado fue

visto en un área sensible a la que él normalmente no tiene
acceso. Es imposible que nadie en esta área sensible no se haya
dado cuenta que esta persona no tiene autorización para estar
allí. Hay carteles que identifican el área restringida y métodos
para controlar los accesos con tarjetas magnéticas.

Respuesta del auditado:

Causa intrínseca: El empleado, conociendo el reglamento interno de la

compañía, ha violado las reglas, pero es un caso aislado.

Acción Correctiva: Despedir al empleado basándose en las reglas y

políticas de la empresa. (Marco temporal: Inmediatamente).

5. Se ha observado una no conformidad porque la organización no

tiene un procedimiento formal para el tratamiento de incidentes
de seguridad.

Respuesta del auditado:

Causa Intrínseca: No está documentado un procedimiento para el

tratamiento de incidentes de seguridad.

Acción Correctiva: Establecer un procedimiento para tratar incidentes

de seguridad (Marco temporal: próximos 12 meses), comprar una
solución de software (Marco temporal: dentro de los 24 meses), y

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

adaptar la solución al proceso de registro y tratamiento de incidentes

propios (Marco temporal: Dentro de los 36 meses).

www.consultorgo.co