1. OBJETIVO 2. ALCANCE

Transcripción

1

2 2/16 1. OBJETIVO Establecer los lineamientos y el procedimiento a seguir para la planificación y realización de auditorías internas al SGC y al SGSI de PROMPERÚ, así como para informar sus resultados y mantener los registros de calidad que se deriven de su aplicación. 2. ALCANCE La presente norma es administrada por la Unidad de Planeamiento y Racionalización y es fuente de consulta y aplicación para las áreas comprendidas en el alcance del SGC y el SGSI de PROMPERÚ. El procedimiento se inicia con la elaboración, aprobación y difusión del Programa Anual de Auditorías del SGC y del SGSI, y finaliza con la revisión del estado de las acciones correctivas y/o preventivas detectadas. Este procedimiento es aplicable a los procesos comprendidos dentro del alcance del SGC y del SGSI, bajo las normas ISO 9001:2008 y NTP-ISO/IEC 27001:2008, respectivamente. 3. DOCUMENTOS A CONSULTAR 3.1. Reglamento de Organización y Funciones de la Comisión de Promoción del Perú para la Exportación y el Turismo PROMPERÚ, aprobado por Decreto Supremo Nº MINCETUR y modificado por Decreto Supremo Nº MINCETUR Manual de Funciones y Perfiles de Contratos Administrativos de Servicios de PROMPERÚ, aprobado por Resolución de Secretaría General Nº PROMPERÚ/SG y modificatorias Procedimiento de Acciones Preventivas y Correctivas 3.4. Manual de Calidad de la Dirección de Promoción de las Exportaciones Norma ISO 9000:2005. Sistemas de Gestión de la Calidad. Principios y Vocabulario Norma ISO 9001:2008. Sistemas de Gestión de la Calidad. Requisitos Norma NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos Norma ISO 19011:2011. Directrices para la Auditoría de los Sistemas de Gestión. 4. GLOSARIO DE TÉRMINOS AI: Auditor Interno OSI: Oficial de Seguridad de la Información RED: Representante de la Dirección SAC: Solicitud de Acción SGC: Sistema de Gestión de Calidad SGSI: Sistema de Gestión de Seguridad de la Información UPRA: Unidad de Planeamiento y Racionalización UTIN: Unidad de Tecnologías de la Información 5. DEFINICIONES Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran señaladas en la norma ISO 19011:2011: 5.1. Alcance de la Auditoría: Extensión y límites de una auditoría Auditado: Organización que es auditada Auditor: Persona que lleva a cabo una auditoría Auditoría: Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el gradoen que se cumplen los criterios de auditoría.

3 3/16 Nota 1: Las auditoríasinternas, denominados en algunos casos auditorías de primera parte, se realizan por la organización, o en nombre, para la revisión por la Dirección y para otros propósitos internos. Pueden formar la base para una autodeclaraciónde conformidad de una organización. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita o al estar libre del sesgo o conflicto de intereses. Nota 2: Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, tales como las autoridades reglamentarias o aquellas que proporcionan la certificación Cliente de la Auditoría: Organización o persona que solicita una auditoría. Nota 1: En el caso de auditoría interna, el cliente de la auditoría también puede ser el auditado o la persona que gestiona el programa de auditoría.las solicitudes de una auditoría externa pueden provenir de fuentes como autoridades reglamentarias, partes contratanteso clientes potenciales Competencia: Capacidad para conocimientos y habilidades para alcanzar los resultados pretendidos Conclusiones de la Auditoría: Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría Criterios de Auditoría: Conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de la auditoría Equipo Auditor: Uno o más auditores que llevan a cabo una auditoría, con el apoyo si es necesario, de expertos técnicos. Nota 1: A un auditor del equipo se le designa como líder del mismo. Nota 2: El equipo auditor puede incluir auditores en formación Evidencia de la Auditoría: Registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y quees verificable. Nota: La evidencia de la auditoría puede ser cualitativa o cuantitativa Experto Técnico: Persona que aporta conocimientos o experiencia al equipo auditor. Nota 1: El conocimiento o experiencia específicos son los relacionados con la organización, el proceso o la actividad a auditar, el idioma o la orientación cultural. Nota 2: Un experto técnico no actúa como un auditor en el equipo auditor Hallazgos de la Auditoría: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría No Conformidad: Incumplimiento de un requisito Observador: Persona que acompaña al equipo auditor pero que no audita. Nota 1: Un observador no es parte del equipo auditor y no influye ni interfiere en la realización de la auditoría. Nota 2: Un observador puede designarse por el auditado, una autoridad reglamentaria u otra parte interesada que testifica la auditoría Plan de Auditoría: Descripción de las actividades y de los detalles acordados de una auditoría Programa de la Auditoría: Detalles acordados para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico. Además, se consideran las siguientes definiciones, las mismas que se encuentran señaladas en la norma ISO 9000:2005: Acción Correctiva: Acción tomada para eliminar la causa de una No Conformidad detectada u otra situación no deseable.

4 4/ Corrección: Acción tomada para eliminar una no conformidad detectada. Nota 1:Una corrección puede realizarse junto con una acción correctiva. Asimismo, para el caso específico del presente procedimiento se consideran las siguientes definiciones: Auditor Líder: Un auditor del equipo auditor designado para dirigir la auditoría Auditoría Extraordinaria: Auditoría realizada fuera del Programa Anual de Auditorías Cierre de Auditoría: La auditoría se considera cerrada cuando no se han encontrado no conformidades o cuando todas y cada una de las no conformidades han sido solucionadas Dirección: Se refiere al nivel más alto de gerencia del proceso comprendido enel alcance del SGC o del SGSI. Para ello se tendrá en cuenta que, para procesos estratégicos y de soporte será la Secretaría General; y para procesos claves será la Dirección de Promoción correspondiente Lista de Verificación: Herramienta del Auditor que permite estructurar la evaluación y que sirve como ayuda memoria durante el proceso de auditoría Observación: Es una falla aislada o esporádica en el contenido o implementación de los documentos del sistema de gestión, o cualquier incumplimiento parcial en un requisito de la norma de referencia que no llega a afectar directamente o de manera crítica al sistema de gestión Oportunidad de Mejora: Acción recomendada, que al ser implementada implica una mejora elsistema de gestión. 6. CONDICIONES BÁSICAS 6.1. En el formato Solicitud de Acción (SAC)se registrará, según corresponda, lo siguiente (Véase Anexo E): a. La descripción de las No Conformidades reales o potenciales encontradas. b. El análisis de la causa que originó la No Conformidad real o potencial. c. Las correcciones, acciones preventivas y/o correctivas implantadas, y la revisión de la efectividad de las mismas. d. La verificación de los resultados Las auditorías internas se realizarán a intervalos planificados (por lo menos una vez al año) para determinar el grado en que el SGCo el SGSI cumple con los requisitos de las normas ISO 9001:2008 o NTP-ISO/IEC 27001:2008, respectivamente El Programa Anual de Auditoríaseplanificará tomando en cuenta la importancia y el estado de los procesos o áreas a auditar; así como los resultados de auditorías previas Las auditorías internas del SGC o del SGSI se programarán de tal manera que se efectúe un ciclo completo de un (1) año, estas deberán ser aprobadas por la Dirección dentro del primer trimestre del periodo programado. Cualquier modificación del Programa deberá ser aprobada por el mismo nivel Los hallazgos de las auditorías se utilizarán para evaluar la eficacia del SGC o del SGSI, según corresponda, y para identificar oportunidades de mejora en cada uno de ellos Los auditores internos, podrán ser terceros subcontratados; en cuyo caso, deberán cumplir con las competencias de educación, formación y experiencia establecida en el Perfil de Puesto del Auditor Interno (Véase Anexo F) El Auditor Interno no deberá auditar su propio trabajo. Asimismo, los Auditores Internos serán independientes del área oproceso comprendido dentro del alcance de laauditoría,y estarán a disposición del RED/OSI,según corresponda, cuando sean convocados. 7. CONDICIONES ESPECÍFICAS 7.1. El RED/OSI, según corresponda, será responsable de velar por el cumplimiento de lo dispuesto en este procedimiento El RED/OSI, según corresponda, será el encargado de la elaboración del Programa Anual de Auditorías (Véase Anexo B) para el SGC o el SGSI; definiendo en el mismo, elobjetivo y alcancedel Programa, así como, el área o proceso, tipo, frecuenciay programación de cada auditoría contenida en dicho Programa.

5 5/ El RED/OSI, según corresponda, podrá solicitar auditorías extraordinarias cuando lo considere necesario; debiendo actualizarse el Programa Anual de Auditorias, si los cambios se justifican El Equipo Auditor podrá estar conformado por uno o varios Auditores Internos dependiendo de la complejidad y características de la auditoría interna; y en caso de ser necesario, podrán participar expertos técnicos y observadores, estos últimos deberán haber llevado previamente el curso de Interpretación de la Norma ISO 9001 o ISO/IEC 27001, según corresponda La presente figura representa de manera esquemática la metodología para llevar a cabo las auditorías internas: Fuentes de Información Recopilación mediante un muestreo apropiado y verificación Evidencia de la Auditoría Evaluación frente a los criterios de auditoría Hallazgo de la Auditoría Revisión Conclusiones de la Auditoría 7.6. El Jefe del órgano o unidad orgánica, o el Coordinador del Departamento, responsable del proceso o área objeto de la auditoría, deberá: a. Poner a disposición del equipo auditor los medios necesarios para la auditoría. b. Facilitar el acceso a las instalaciones y documentos relevantes para la auditoría. c. Cooperar con los auditores para asegurar el éxito de la auditoría. d. Tomar las acciones correctivas necesarias sin demora injustificada para eliminar las no conformidades detectadas durante la auditoría y sus causas En la etapa de preparación de la documentación, el Auditor Interno preparará una lista de verificación,de ser necesario Los hallazgos de la auditoría se clasifican en: No Conformidad, Observación y Oportunidad de Mejora El Informe de Auditoría Interna (Véase Anexo D) incluirálas fortalezas ydebilidades, observaciones y oportunidades de mejora del SGC o SGSI, para su posterior revisión por la Dirección Luego de la reunión de cierre, la Dirección procederá a analizar las fortalezas, debilidades, observaciones y oportunidades de mejora del SGSC o SGSIseñaladas en el informe de auditoría. Asimismo, se tomarán las acciones y decisiones necesarias,definiéndose a un responsable, el plazo y la verificación correspondiente El RED/OSI, según corresponda, podrá gestionar el tratamiento de las observaciones encontradascomo si fuesen No Conformidades; siempre que lo estime conveniente La generación y el tratamiento de una Solicitud de Acción (Véase Anexo E)se llevará a cabo de acuerdo a lo descrito en el procedimiento de Acciones Preventivas y Correctivas Durante la auditoría interna se dará seguimiento a las acciones correctivas pendientes de cierre en el área o procesoauditado. 8. DESCRIPCIÓN DEL PROCEDIMIENTO Nº Actividad Responsable Elaboración, Aprobación y Difusión del Programa Anual de Auditorias 1 Elabora el Programa Anual de Auditoríasdel SGC o del SGSI, según corresponda, para un periodo determinado (según se refieren losnumerales6.4 Representante de la Dirección/ Oficial de Seguridad de la

6 6/16 Nº Actividad Responsable y 7.2 del presente). Información 2 Aprueba el Programa Anual de Auditoríasdel SGC o del SGSI, según corresponda. Elaboración del Plan de Auditorías Internas Coordina con los responsables de las áreas involucradas, la(s) fecha(s) y 3 hora(s) de ejecución de la auditoría, a fin de asegurar su disponibilidad durante la auditoría interna. Selecciona a losauditores internos que conformarán el Equipo Auditor, de acuerdo al Perfil de Puesto del Auditor Interno (Véase Anexo F) y haciendo 4 uso del formato Evaluación del Auditor Interno (Véase Anexo G). Así como, de ser necesario, selecciona a la(s) persona(s) que participará(n) comoexperto(s) técnico(s) yobservador(es). Nombra a un Auditor Interno comoauditor Líder para que dirija el proceso de 5 auditoría interna; considerando la experiencia previa y procesos a ser auditados. Prepara el Plan de Auditoría Interna para el SGC o el SGSI según 6 formato,(véase Anexo C) donde se definen las fecha(s), hora(s), itinerarios de auditoría, auditados, criterios de la auditoría y auditores. 7 Comunica el Plan de Auditoría Interna al personal involucrado en los procesos Auditor Interno (Líder) a ser auditados. Preparación de la Auditoría Interna Revisa la documentación pertinente de los procesos a auditar teniendo en 8 consideración los resultados de auditorías previas y/ocláusulas de la norma Auditor Interno (Líder) ISO 9001:2008o NTP-ISO/IEC 27001:2008, según corresponda. Apertura de Auditoría Realiza la Reunión de Apertura con el personal involucrado de acuerdo al Plan 9 de Auditoría Interna establecido, confirmando los horarios, responsables y procesos a ser auditados; en caso de ser necesario, modifica el Plan de Auditor Interno (Líder) Auditoria. Ejecución de la Auditoria Audita los procesos y/o áreas previstas haciendo uso de la norma ISO 9001:2008 o NTP-ISO/IEC 27001:2008, según corresponda, y procede a 10 recoger evidencias objetivas de las mismas a través de entrevistas, Equipo Auditor observación de actividades y revisión de registros, con la finalidad de verificar la implementación y efectividad del SGC o del SGSI, según corresponda. 11 Informa al área auditada de los hallazgos encontradosdurante el proceso de auditoría. Equipo Auditor Registros de No Conformidades Redacta las No Conformidades encontradas en el formato Solicitud de 12 Acción (haciendo referencia a la cláusula de la norma ISO 9001:2008 o NTP- ISO/IEC 27001:2008que se esté incumpliendo) y se las entrega al RED/OSI, Equipo Auditor según corresponda. Elaboración del Informe de Auditoría Interna 13 Elabora Informe de Auditoría Interna, según formato (Véase Anexo D). Auditor Interno (Líder) Presenta el Informe de Auditoría Interna alred/osi, según corresponda, 14 anexando las Solicitudes de Acción, de ser necesario. Cierre de Auditoría 15 Realiza la Reunión de Cierre de acuerdo al Plan de AuditoríaInterna, acordando los plazos para levantar las No Conformidades detectadas Gestiona el tratamiento de las No Conformidades según lo establecido en el Procedimiento de Acciones Preventivas y Correctivas. Evalúa a cada auditor interno, después de la auditoría interna,haciendo uso del formato Evaluación del Auditor Interno. Secretaria General/ Director de Promoción correspondiente Representante de la Dirección/ Oficial de Seguridad de la Información Representante de la Dirección/ Oficial de Seguridad de la Información Representante de la Dirección/ Oficial de Seguridad de la Información Auditor Interno (Líder) Auditor Interno (Líder) Auditor Interno (Líder) Representante de la Dirección/ Oficial de Seguridad de la Información Representante de la Dirección/ Oficial de Seguridad de la Información

7 7/16 9. REGISTROS Descripción Código Nº de ejemplares Lugar de archivo Tiempo de archivo (Años) Programa Anual de Auditorías FO-MEJ Archivo del Área 5 años Plan de Auditoría Interna FO-MEJ Archivo del Área 2 años Informe de Auditoría Interna FO-MEJ Archivo del Área 5 años Solicitud de Acción FO-MEJ Archivo del Área 2 años Perfil de Puesto del Auditor Interno No aplica 1 Archivo del Área Permanente Evaluación del auditor Interno FO-MEJ Archivo del Área Permanente 10. HOJA DE CONTROL DE CAMBIOS Nº de Nº de capítulo/ Párrafo/ Figura/ versión Ítem Tabla/ Nota Modificaciones 01 Carátula y Encabezados Se antepuso al nombre del procedimiento la palabra Procedimiento de Se modificó el Objetivo del procedimiento Se modificó el Alcance del procedimiento , 3.4 y 3.5 Se completaron los nombres de los documentos a consultar Se modificó la denominación del Manual de Calidad de la Subdirección de Servicios y Asistencia Empresarial por Manual de Calidad de la Dirección de Promoción de las Exportaciones Se incorporó el nuevo documentos a consultar (numeral 3.7) Se incorporaron los términos OSI, SGSI, UPRA y UTIN , 5.11, 5.12, 5.21 y 5.23 Se modificaron las definiciones , 5.6, 5.10, 5.13, 5.14, 5.15, Se complementaron las definiciones. 5.16, 5.17 y y 5.22 Se retiraron las definiciones de Auditoría de Primera Parte y Oficina Regional de Exportaciones Se adicionaron las definiciones de Observador (5.14) y Dirección (5.22) Se juntaron los literales c) y d), así como se retiraron los literales e) y f). Seguidamente, se trasladó como condición básica (6.1) Se incorporó la condición básica (6.1) Se complementó con la condición específica Se adicionó al SGSI, producto del nuevo alcance del presente procedimiento , 6.4 y 6.5 Se retiraron las condiciones básicas Se adicionó la condición básica (6.4) Se adicionó al OSI, producto del nuevo alcance del presente procedimiento Se modificó y trasladó como condición básica (6.3) Se adicionó al OSI, producto del nuevo alcance del presente procedimiento Se modificó y trasladó como condición básica Se complementó la condición específica Se retiró la condición específica c) Se complementó el literal c) de la condición específica y 7.13 Se juntaron las condiciones específicas Se adicionó al OSI, producto del nuevo alcance del presente

8 8/16 Nº de versión Nº de capítulo/ Ítem Párrafo/ Figura/ Tabla/ Nota procedimiento. Modificaciones Se retiró condición específica Se modificó la descripción del procedimiento debido a la incorporación del SGSI Anexo A Se actualizó el diagrama de flujo Se modificó el código y contenido de los formatos: Programa Anual de Anexos B, C, D, E Auditorías, Plan de Auditoría Interna, Informe de Auditoría Interna, y G Solicitud de Acción y Evaluación de Auditor Interno Anexo F Se modificó el contenido del formato Perfil de Puesto del Auditor Interno. Seguidamente, pasó a sermodelo Perfil de Puesto del Auditor Interno. 11. ANEXOS Diagrama de Flujo Formato Programa Anual de Auditorías Formato Plan de Auditoría Interna Formato Informe de Auditoria Interna Formato Solicitud de Acción Modelo Perfil de Puesto del Auditor Interno Formato Evaluación del Auditor Interno Descripción Anexo A B C D E F G

9 Anexo: A 9/16 ANEXO A: DIAGRAMA DE FLUJO Proceso: Auditorías Internas Pág.1/1 PROMPERÚ Representante de la Dirección/ Oficial de Seguridad de la Información Secretaria General/ Director de Promoción correspondiente Auditor Interno (Líder) Equipo Auditor Inicio 1 Elabora Programa Anual de Auditorías del SGC o del SGSI, según corresponda, para un periodo determinado Programa Anual de Auditorías Aprueba Programa Anual de Auditorías 2 Programa Anual de Auditorías aprobado 3 Coordina con los responsables de las áreas involucradas, la(s) fecha(s) y hora(s) de la auditoría 4 Selecciona a los auditores internos que conformarán el Equipo Auditor 5 6 Nombra Auditor Interno como Líder para que dirija el proceso de auditoría interna Prepara el Plan de Auditoría Interna para el SGC o el SGSI, según corresponda Plan de Auditoría Interna Comunica el Plan de Auditoría Interna al personal involucrado en el proceso 7 Revisa la documentación pertinente de los procesos a auditar 8 Realiza la Reunión de Apertura con el personal involucrado 9 10 Audita los procesos y/o áreas previstas y proceden a recoger evidencias objetivas de las mismas 11 Informa al Área auditada de los hallazgos encontrados durante el proceso de auditoría 13 Elabora Informe de Auditoría Interna Informe de Auditoría Interna 12 Redacta las No Conformidades encontradas y se las entrega al RED/OSI Solicitud de Acción Gestiona el tratamiento de las No Conformidades Evalúa a cada auditor interno haciendo uso del formato Evaluación del Auditor Interno Evaluación del Auditor Interno 14 Presenta Informe de Auditoría Interna al RED/OSI, anexando las solicitudes de acción Informe de Auditoría Interna 15 Realiza la Reunión de Cierre de acuerdo al Plan de Auditoría Interna Fin

10 Anexo: B 10/16 ANEXO B: FORMATO PROGRAMA ANUAL DE AUDITORÍAS

11 Anexo: C 11/16 ANEXO C: FORMATO PLAN DE AUDITORÍA INTERNA

12 Anexo: D 12/16 ANEXO D: FORMATO INFORME DE AUDITORÍA INTERNA

13 Anexo: D 13/16

14 Anexo: E 14/16 ANEXO E: FORMATO SOLICITUD DE ACCIÓN

15 Anexo: F 15/16 ANEXO F: MODELO PERFIL DE PUESTO DEL AUDITOR INTERNO

16 Anexo: G 16/16 ANEXO G: FORMATO EVALUACIÓN DEL AUDITOR INTERNO