Subsistema de administración de la Seguridad de los Procesos (SASP)

Transcripción

1 Protocolo de Auditoría Subsistema de administración de la Seguridad de los Procesos Elemento 10. Auditorías Organismo: Línea de Negocio: Centro de trabajo: Instalación: Criterios de auditoría Subsistema de administración de la Seguridad de los Procesos (SASP) Puntos Máx Codificación Preguntas clave ELEMENTO: Auditorías REQUISITO: Definir, documentar y administrar un programa de auditorías a los procesos y sistemas SSPA, que incluya los objetivos, el alcance, las responsabilidades, los procedimientos y los recursos para llevarlo a cabo. 3 Disponibilidad Se dispone de un procedimiento para la elaboración, documentación y administración de un programa de auditorías? Este procedimiento está disponible para su consulta para todo el personal involucrado? 4 Calidad Se especifica que ésta es una responsabilidad de la Máxima Autoridad SSPA? El procedimiento especifica que deben definirse los objetivos, el alcance, las responsabilidades, los procedimientos y los recursos para llevar a cabo el programa de auditorías? Se especifican los tipos de auditoría que pueden ser realizados? Se establecen los criterios para definir la frecuencia de las auditorías? 2 Comunicación Este procedimiento ha sido comunicado a los responsables e involucrados? Ha sido evaluado el grado de entendimiento de los contenidos del procedimiento de los responsables? 3 Cumplimiento Se tiene definido y documentado un programa de auditorías? Se tienen definidos los objetivos, el alcance, las responsabilidades y los procedimientos para la ejecución del programa de auditorías? Se han identificado y se proporcionan los recursos necesarios para su ejecución? 102 SASP 5

2 Fecha: Auditado: Auditor: Calificación Global: Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 103

3 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Asegurar el desarrollo y mantenimiento de la competencia de los auditores. 3 Disponibilidad Está documentada la responsabilidad de asegurar el desarrollo y mantenimiento de la competencia de los auditores? Los requisitos sobre la competencia de los auditores están documentados y están disponibles a los responsables e interesados? 2 Calidad Se especifica que la responsabilidad de asegurar el desarrollo y mantenimiento de la competencia de los auditores corresponde a la Máxima Autoridad SSPA? Los requisitos sobre la competencia de los auditores se apegan al estándar ISO-19011:2002? 2 Comunicación La responsabilidad para asegurar el desarrollo y mantenimiento de la competencia de los auditores ha sido comunicada al y entendida por el personal adecuado? Los requisitos sobre la competencia de los auditores son conocidos por los responsables y por los interesados? 3 Cumplimiento Se realizan actividades cuyo propósito sea el desarrollo y mantenimiento de la competencia de los auditores? Se cuenta con un padrón de auditores calificados de acuerdo con ISO-19011:2002? Las auditorías sólo son ejecutadas por auditores calificados? 104 SASP 5

4 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 105

5 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Asegurar el desarrollo y mantenimiento de la competencia de expertos técnicos por especialidad. 2 Disponibilidad Está documentada en algún sitio la responsabilidad de asegurar el desarrollo y mantenimiento de la competencia de expertos técnicos por especialidad? Los requisitos sobre la competencia de los expertos técnicos están documentados en algún sitio y están disponibles a los responsables e interesados? 2 Calidad Se especifica que la responsabilidad de asegurar el desarrollo y mantenimiento de la competencia de los expertos técnicos corresponde a la Máxima Autoridad SSPA? Los requisitos sobre la competencia de los expertos técnicos se apegan a algún estándar documentado? 2 Comunicación La responsabilidad para asegurar el desarrollo y mantenimiento de la competencia de los expertos técnicos ha sido comunicada y entendida por el personal adecuado? Los requisitos sobre la competencia de los expertos técnicos son conocidos por los responsables y por los interesados? 4 Cumplimiento Se realizan actividades cuyo propósito sea el desarrollo y mantenimiento de la competencia de los expertos técnicos? Se cuenta con padrones de expertos técnicos calificados? En las auditorías participan expertos técnicos calificados? 106 SASP 5

6 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 107

7 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Asegurar la ejecución efectiva del programa de auditorías. 2 Disponibilidad Está documentada la responsabilidad de asegurar la ejecución efectiva del programa de auditorías? Están documentados los criterios para decidir sobre la efectividad del programa de auditorías? 3 Calidad Se especifica que esta responsabilidad corresponde a la Máxima Autoridad SSPA? Estas actividades de aseguramiento incluyen la disponibilidad de los estándares, los procedimientos para su ejecución, la disponibilidad del personal auditor y personal auditado, los recursos y herramientas de apoyo que faciliten su realización? Se especifica que la efectividad del programa de auditorías está relacionada con los resultados SSPA? 2 Comunicación La responsabilidad de asegurar la ejecución efectiva del programa de auditorías ha sido comunicada y entendida por el personal adecuado? Se ha entendido que ejecución efectiva no es sólo el cumplimiento del programa, sino que éste impacte los resultados en SSPA? 2 Cumplimiento En las auditorías que se realizan están disponibles los estándares, los auditores, los auditados, los recursos y las herramientas de apoyo? Existen evidencias de que el programa de auditorías ha influido en la mejora de los resultados SSPA? 108 SASP 5

8 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 109

9 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Monitorear, revisar y mejorar el programa de auditorías. 2 Disponibilidad Se establece en el procedimiento de auditorías que el programa de auditorías debe ser monitoreado, revisado y mejorado? Han sido documentados los mecanismos o indicadores para efectuar esta actividad? 4 Calidad Se especifica que esta responsabilidad corresponde a la Máxima Autoridad SSPA? Se incluyen indicadores de cumplimiento y efectividad del programa de auditorías? Se incluyen indicadores sobre el cumplimiento y efectividad de las acciones correctivas? Se especifica que deben implantarse acciones de mejora del programa? 2 Comunicación La responsabilidad de monitorear, revisar y mejorar el programa de auditorías ha sido comunicada al y entendida por el personal adecuado? Se ha capacitado el personal directivo sobre el uso e interpretación de los indicadores de cumplimiento y efectividad del programa de auditorías? 2 Cumplimiento La Máxima Autoridad SSPA revisa periódicamente los indicadores de cumplimiento y efectividad del programa de auditorías? Se han documentado e implantado acciones correctivas para mejorar el programa? 110 SASP 5

10 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 111

11 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Mantener los registros adecuados durante todas las fases de ejecución del proceso de auditoría. 2 Disponibilidad Se establece en el procedimiento de auditorías que deben ser mantenidos registros durante todas las fases de ejecución del proceso de auditorías? El personal responsable e involucrado tiene acceso a esos registros? 3 Calidad Se especifica que esta responsabilidad corresponde a la Máxima Autoridad SSPA? Esos registros incluyen el programa de auditorías, los planes de auditorías y los informes de auditoría? Esos registros incluyen los relacionados con la competencia de los auditores y los expertos técnicos? 2 Comunicación Los directivos y los auditores conocen los tipos de registros que deben ser mantenidos? El personal responsable e involucrado conoce la información mantenida en los registros? 2 Cumplimiento Se cuenta con todos los registros de todas las fases de ejecución del proceso de auditorías? Los registros están completos, claros, actualizados y protegidos? 112 SASP 5

12 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 113

13 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Planear y ejecutar auditorías alineadas a los objetivos, alcances y programa establecidos por la Máxima Autoridad SSPA. 2 Disponibilidad Se cuenta con un procedimiento para la planeación y ejecución de las auditorías? Este procedimiento se encuentra disponible para los responsables e interesados? 3 Calidad Se especifica que los objetivos y alcances de las auditorías deben ser congruentes con los objetivos y alcances establecidos por la Máxima Autoridad SSPA en su programa de auditorías? Se especifica que las actividades de la auditoría deben incluir: designación de un auditor líder, de un equipo auditor, revisión documental, documentos de trabajo (criterios y protocolos), actividades en sitio, informe de auditoría? Se definen actividades de seguimiento de no conformidades? 2 Comunicación Los auditores han recibido capacitación y entrenamiento formales sobre este procedimiento? Este procedimiento ha sido comunicado a los auditados? 3 Cumplimiento Las auditorías se ejecutan de acuerdo con el programa de auditorías y sus objetivos, alcances y tipos de auditoría están alineados a lo establecido en el programa mencionado? Todas las auditorías realizadas cuentan con un auditor líder, un equipo auditor, revisión documental, documentos de trabajo (criterios y protocolos), actividades en sitio, informe de auditoría? Se realizan actividades de verificación sobre el cumplimiento y efectividad de las acciones correctivas? 114 SASP 5

14 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 115

15 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Realizar la investigación y análisis de las causas raíz (IACR) de las no conformidades identificadas en las auditorías. 2 Disponibilidad Se cuenta con un procedimiento para la investigación y análisis de las causas raíz de las no conformidades identificadas en las auditorías? Este procedimiento se encuentra disponible para los responsables e interesados? 5 Calidad Se especifica que la responsabilidad de la IACR pertenece a los responsables operativos? Se especifica que la IACR debe ser realizada por un equipo multidisciplinario de especialistas? Se definen una o más metodologías para hacer el análisis de causas raíz? Se especifica que las causas deben ser catalogadas como físicas, humanas y de sistema? Se define que el informe ACR debe contener recomendaciones para eliminar las causas raíz? 2 Comunicación Los integrantes de los equipos multidisciplinarios han recibido capacitación y entrenamiento formales sobre las metodologías ACR? Se ha comunicado el procedimiento a la línea de mando? 5 Cumplimiento A las no conformidades identificadas se les aplica el proceso de investigación y análisis de causas raíz? Los ACR son realizados por equipos multidisciplinarios de especialistas? 116 SASP 5

16 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 Protocolos de Auditoría 117

17 Criterios de auditoría Puntos Máx Codificación Subsistema de administración de la Seguridad de los Procesos (SASP) Preguntas clave ELEMENTO: Auditorías REQUISITO: Asegurarse de la implantación efectiva de las acciones correctivas y preventivas (ACP) que eliminen las causas raíz de las no conformidades. 2 Disponibilidad Se cuenta con un procedimiento para la implantación efectiva de las acciones correctivas y preventivas que eliminen las causas raíz de las no conformidades? Este procedimiento se encuentra disponible para los responsables e interesados? 5 Calidad Se especifica que la responsabilidad de la implantación efectiva de las ACP pertenece a los responsables operativos? Se especifica que el programa de acciones correctivas y preventivas (PACP) debe ser elaborado por el equipo de trabajo del área? Se establece que el PACP debe ser revisado y aprobado por la línea de mando? Se definen actividades de supervisión y seguimiento del PACP? Se establece la obligación de informar sobre los avances del PACP a todas las líneas de mando? 2 Comunicación Los integrantes de los grupos de trabajo de las áreas han recibido capacitación sobre este procedimiento? Se ha evaluado el grado de entendimiento sobre las actividades del procedimiento de los involucrados? 7 Cumplimiento Todos los informes de IACR generados tienen un PACP asociado? Los PACP son realizados por los equipos de trabajo de las áreas? Los PACP existentes están firmados de revisión y aprobación por la línea de mando? Existen evidencias de las actividades de supervisión y seguimiento de los PACP? Existen informes de avances de los PACP a toda la línea de mando? SASP 5

18 Evidencias objetivas / Observaciones Si o No Puntos Reales Clave: 800/16000/DCO/PT/014/10 Revisión: 1 Fecha: 01/01/2010 CALIFICACIÓN DEL ELEMENTO = % DE CUMPLIMIENTO = Protocolos de Auditoría 119