ISO 9011

DIRECTRICES PARA LA AUDITORA DE LOS SISTEMAS DE GESTIN DE LA CALIDAD Y/O AMBIENTAL

Objeto y Campo de Aplicacin

Esta Norma Internacional proporciona orientacin sobre los principios de auditora, la gestin de programas de auditora, la realizacin de auditoras de sistemas de gestin de la calidad y auditoras de sistemas de gestin ambiental, as como sobre la competencia de los auditores de sistemas de gestin de la calidad y ambiental.

Esta norma es aplicable a todas las organizaciones que tienen que realizar auditoras internas o externas de sistemas de gestin de la calidad y/o ambiental o que gestionar un programa de auditora.

La aplicacin de esta Norma Internacional a otros tipos de auditoras es posible en principio, siempre que se preste especial atencin a la identificacin de la competencia necesaria de los miembros del equipo auditor. Indica como auditar los procesos que constituyen al sistema de gestin de la calidad. Esta norma se enfoca hacia cuatro aspectos relativos a la realizacin de auditoras:
1- Principios de auditora 2- Gestin de un programa de auditora 3- Actividades de auditora 4- Competencia y evaluacin de los auditores

Principios de Auditoria
PRINCIPIOS A LOS AUDITORES

PRINCIPIOS A LA AUDITORIA

Principios de Auditora

La auditoria se caracteriza por depender de varios principios. stos hacen de la auditora una herramienta eficaz y fiable en apoyo de las polticas y controles de gestin, proporcionando informacin sobre la cual una organizacin puede actuar para mejorar su desempeo. La adhesin a esos principios es un requisito previo para proporcionar conclusiones de la auditora que sean pertinentes y suficientes, y para permitir a los auditores trabajar independientemente entre s para alcanzar conclusiones similares en circunstancias similares.

Principios a los Auditores

a)

Conducta tica: el fundamento de la profesionalidad Presentacin ecunime: la obligacin de informar con veracidad y exactitud Debido cuidado profesional: la aplicacin de diligencia y juicio al auditar

b)

c)

Principios a la Auditoria
a)

Independencia: la base para la imparcialidad de la auditora y la objetividad de las conclusiones de la auditora

b)

Enfoque basado en la evidencia: el mtodo racional para alcanzar conclusiones de la auditora fiables y reproducibles en un proceso de auditora sistemtico

Gestin de un programa de Auditoria

GENERALIDADES OBJETIVOS Y AMPLITUD DE UN PROGRAMA DE AUDITORA RESPONSABILIDADES, RECURSOS Y PROCEDIMIENTOS DEL PROGRAMA DE AUDITORA IMPLEMENTACIN DEL PROGRAMA DE AUDITORA REGISTROS DEL PROGRAMA DE AUDITORA SEGUIMIENTO Y REVISIN DEL PROGRAMA DE AUDITORA

Generalidades

Un programa de auditora puede incluir una o ms auditoras, dependiendo del tamao, la naturaleza y la complejidad de la organizacin que va a ser auditada.

Incluye todas las actividades necesarias para planificar y organizar el tipo y nmero de auditoras, y para proporcionar los recursos para llevarlas a cabo de forma eficaz y eficiente dentro de los plazos establecidos.

Diagrama de flujo del proceso para la gestin de un programa de auditora

Objetivos de un programa de auditora

Deberan establecerse los objetivos de un programa de auditora para dirigir la planificacin y realizacin de las auditoras.

Estos objetivos pueden basarse considerando:

a) prioridades de la direccin, b) propsitos comerciales, c) requisitos del sistema de gestin, d) requisitos legales, reglamentarios y contractuales, e) necesidad de evaluar a los proveedores, f) requisitos del cliente, g) necesidades de otras partes interesadas, h) riesgos para la organizacin.

Amplitud de un programa de auditora

La amplitud de un programa de auditora puede variar y estar influenciada por el tamao, la naturaleza y la complejidad de la organizacin que se audite, as como por lo siguiente:
a) el alcance, el objetivo y la duracin de cada auditora que se realice; b) la frecuencia de las auditoras que se realicen; c) el nmero, la importancia, la complejidad, la similitud y la ubicacin de las actividades que se auditen; d) las normas, los requisitos legales, reglamentarios y contractuales, y otros criterios de auditora; e) la necesidad de acreditacin o de certificacin /registro; f) las conclusiones de las auditoras previas o los resultados de una revisin de un programa de auditora previo; g) cualquier aspecto idiomtico, cultural y social; h) las inquietudes de las partes interesadas; y i) los cambios significativos en la organizacin o en sus operaciones.

Responsabilidades del programa de auditora

Aquellos a los que se ha asignado la responsabilidad de gestionar el programa de auditora deberan:

a) establecer los objetivos y la amplitud del programa de auditora,

b) establecer las responsabilidades y los procedimientos, y asegurarse de que se proporcionan recursos, c) asegurarse de la implementacin del programa de auditora, d) asegurarse de que se mantienen los registros pertinentes del programa de auditora, y e) realizar el seguimiento, revisar y mejorar el programa de auditora.

Recursos del programa de auditora

Cuando se identifiquen los recursos para el programa de auditora, deberan considerarse:

a) los recursos financieros necesarios para desarrollar, implementar, dirigir y mejorar las actividades de la auditora, b) las tcnicas de auditora, c) los procesos para alcanzar y mantener la competencia de los auditores, y para mejorar su desempeo,

d) la disponibilidad de auditores y expertos tcnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditora,
e) la amplitud del programa de auditora, y f) el tiempo de viaje, alojamiento y otras necesidades de la auditora.

Procedimientos del programa de auditora

Los procedimientos del programa de auditora deberan tratar lo siguiente:

a) la planificacin y elaboracin del calendario de las auditoras;

b) el aseguramiento de la competencia de los auditores y de los lderes de los equipos auditores;

c) la seleccin de los equipos auditores apropiados y la asignacin de sus funciones y responsabilidades; d) la realizacin de las auditoras;

e) la realizacin del seguimiento de la auditora, si es aplicable;

f) la conservacin de los registros del programa de auditora; g) el seguimiento del desempeo y la eficacia del programa de auditora; y h) la comunicacin de los logros globales del programa de auditora a la alta direccin.

Implementacin del programa de auditora

La implementacin de un programa de auditora debera tratar lo siguiente:

a) la comunicacin del programa de auditora a las partes pertinentes; b) la coordinacin y elaboracin del calendario de las auditoras y otras actividades relativas al programa de auditora; c) el establecimiento y mantenimiento de un proceso para la evaluacin de los auditores y su continuo desarrollo profesional, de acuerdo con los apartados 7.6 y 7.5 respectivamente; d) asegurarse de la seleccin de los equipos auditores;

e) la provisin de los recursos necesarios para los equipos auditores; f) asegurarse de la realizacin de las auditoras de acuerdo con el programa de auditora; g) asegurarse del control de los registros de las actividades de la auditora; h) asegurarse de la revisin y aprobacin de los informes de la auditora, y asegurarse de su distribucin al cliente de la auditora y a otras partes especificadas; y i) asegurarse del seguimiento de la auditora, si es aplicable.

Registros del programa de auditora

Los registros deberan conservarse para demostrar la implementacin del programa de auditora y deberan incluir lo siguiente: registros relacionados con auditoras individuales, tales como:

a)

planes de auditora, informes de auditora, informes de no conformidades, informes de acciones correctivas y preventivas, e informes del seguimiento de la auditora, si es aplicable.

b)

resultados de la revisin del programa de auditora; registros relacionados con el personal de la auditora que traten aspectos tales como:

c)

competencia del auditor y evaluacin desempeo, seleccin del equipo auditor, y mantenimiento y mejora de la competencia.

Los registros deberan conservarse y guardarse con la seguridad apropiada.

Seguimiento y revisin del programa de auditora

La implementacin del programa de auditora debera seguirse y revisarse a intervalos apropiados para evaluar si se han cumplido sus objetivos y para identificar las oportunidades de mejora. Los resultados deberan comunicarse a la alta direccin. Deberan utilizarse indicadores de desempeo para el seguimiento de caractersticas tales como:

La aptitud de los equipos auditores para implementar el plan de auditora,

La conformidad con los programas y calendarios de auditora, y La retroalimentacin de los clientes de la auditora, de los auditados y de los auditores.

La revisin del programa de auditora debera considerar, por ejemplo:

a) los resultados y las tendencias del seguimiento, b) la conformidad con los procedimientos, c) las necesidades y expectativas cambiantes de las partes interesadas, d) los registros del programa de auditora, e) las prcticas de auditora alternativas o nuevas, y f) la coherencia en el desempeo entre los equipos auditores en situaciones similares.

Actividades de la Auditoria
INICIO DE AUDITORIA REVISIN DE LA DOCUMENTACIN PREPARACIN DE LAS ACTIVIDADES DE AUDITORA IN SITU. REALIZACIN DE LAS ACTIVIDADES DE AUDITORA IN SITU PREPARACIN, APROBACIN Y DISTRIBUCIN DEL INFORME DE LA AUDITORA FINALIZACIN DE LA AUDITORA REALIZACIN DE LAS ACTIVIDADES DE SEGUIMIENTO DE UNA AUDITORA

Inicio de Auditoria

Designacin del lder del equipo auditor Definicin de los objetivos, el alcance y los criterios de auditora Determinacin de la viabilidad de la auditora Seleccin del equipo auditor Establecimiento del contacto inicial con el auditado

Preparacin de las actividades de auditora.

Preparacin del plan de auditora Asignacin de las tareas al equipo auditor Preparacin de los documentos de trabajo

Realizacin de las actividades de auditora.

Realizacin de la reunin de apertura Comunicacin durante la auditora Papel y responsabilidades de los guas y observadores Recopilacin y verificacin de la informacin Generacin de hallazgos de la auditora Preparacin de las conclusiones de la auditora

Realizacin de la reunin de cierre

Preparacin, aprobacin y distribucin del informe de la auditora

Preparacin del informe de la auditora Aprobacin y distribucin del informe de la auditora

Finalizacin de la auditora

La auditora finaliza cuando todas las actividades descritas en el plan de auditora se hayan realizado y el informe de la auditora aprobado se haya distribuido.

Los documentos pertenecientes a la auditora deberan conservarse o destruirse de comn acuerdo entre las partes participantes y de acuerdo con los procedimientos del programa de auditora y los requisitos legales, reglamentarios y contractuales aplicables.

Realizacin de las actividades de seguimiento de una auditora

Las conclusiones de la auditora pueden indicar la necesidad de acciones correctivas, preventivas, o de mejora, segn sea aplicable. Tales acciones generalmente son decididas y emprendidas por el auditado en un intervalo de tiempo acordado y no se consideran parte de la auditora. El auditado debera mantener informado al cliente de la auditora sobre el estado de estas acciones.

Competencia y evaluacin de los auditores

El ltimo bloque se la norma se dedica a las directrices para el diseo e implementacin de un modelo de gestin para la competencia y evaluacin de los auditores. Indudablemente, la dedicacin de un bloque entero de la norma nos da a entender que la disponibilidad de equipos de auditora competentes se considera uno de los pilares fundamentales para el correcto funcionamiento de un programa de auditoras.

ISO 9126
ES ESTNDAR INTERNACIONAL PARA EVALUACIN DE CALIDAD DEL SOFTWARE.

Modelo de Calidad Establecido por el estndar ISO 9126

La ISO, bajo la norma ISO-9126 ha establecido un estndar internacional para la evaluacin de la calidad de productos de software el cual fue publicado en 1992 con el nombre de Information Technology- Software Product Evaluation: Quality Characteristics and Guidelines for Their Use, en el cual se establecen las caractersticas de calidad para productos de software.

mbitos de uso de ISO/IEC 9126

Validar la integridad de una definicin de requisitos; Identificar los requisitos del software; Identificar los objetivos del diseo del software; Identificar los objetivos de la prueba de software; Identificar el criterio de aseguramiento de calidad; Identificar el criterio de aceptacin para un producto de software completo. Priorizar los recursos en los aspectos ms importantes en trminos de calidad.

El estndar ISO 9126 establece que cualquier componente de la calidad del software puede ser descrito en trminos de una o mas de seis caractersticas bsicas, las cuales son: Funcionalidad Confiabilidad Usabilidad Eficiencia Mantenibilidad Portabilidad

Funcionalidad

Un sistema de las cualidades que refieren la existencia de un sistema de funciones y de sus caractersticas especificadas. Las funciones son las que satisfacen necesidades indicadas o implicadas. o Conveniencia o Exactitud o Interoperabilidad o Conformidad o Seguridad

Confiabilidad

Un sistema de las cualidades que refieren la capacidad del software para mantener su nivel del funcionamiento bajo condiciones indicadas por un perodo del tiempo indicado. o Madurez o Recuperabilidad o Tolerancia de avera

Utilidad

Un sistema de las cualidades que refieren el esfuerzo necesit para el uso, y en el gravamen individual de tal uso, por un sistema indicado o implicado de usuarios. o Learnability o Understandability o Operability

Eficacia

Un sistema de las cualidades que refieren la relacin entre el nivel del funcionamiento del software y la cantidad de recursos usados, bajo condiciones indicadas. o Comportamiento de Tiempo o Comportamiento del recurso

Capacidad de mantenimiento

Un sistema de las cualidades que refieren el esfuerzo necesit hacer modificaciones especificadas. o Estabilidad o Analyzability o Changeability o Testability

Portabilidad

Un sistema de las cualidades que refieren la capacidad del software de ser transferido a partir de un ambiente a otro. o Installability o Reemplazabilidad o Adaptabilidad

El estndar proporciona un marco para las organizaciones para definir un modelo de la calidad para un producto de software. En hacer as pues, sin embargo, deja hasta cada organizacin la tarea de especificar exacto su propio modelo. Esto se puede hacer, por ejemplo, especificando los valores de blanco para la mtrica de la calidad que evala el grado de presencia de las cualidades de la calidad.
Las mtricas internas son las que no confan en la ejecucin del software (medidas estticas). Las mtricas externas son aplicables al software corriente. Las mtricas funcionando de la calidad estn solamente disponibles cuando el producto final se utiliza en condiciones verdaderas. Idealmente, la calidad interna determina la calidad externa y la calidad externa determina la calidad funcionando.

Este estndar proviene modelo establecido en 1977 de McCall y de sus colegas, que propusieron un modelo para especificar calidad del software. El modelo de la calidad de McCall se organiza alrededor de tres tipos de caractersticas de la calidad: Factores (especificar): Describen la vista externa del software, segn lo visto por los usuarios. Criterios (construir): Describen la vista interna del software, segn lo visto por el revelador. Mtrica (al control): Se definen y se utilizan para proporcionar una escala y un mtodo para la medida. La ISO 9126 distingue entre un defecto y una inconformidad, a defecto siendo El incumplimiento de los requisitos previstos del uso, mientras que a inconformidad es El incumplimiento de requisitos especificados. Una distincin similar se hace entre la validacin y la verificacin

ISO 10006
SISTEMAS DE GERENCIA DE LA CALIDAD

La ISO 10006 da la direccin en el uso de la gerencia de la calidad en proyectos. Es aplicable a los proyectos de la complejidad que vara, pequeo o grande, de la duracin corta o larga, en diversos ambientes, y con independencia de la clase de producto o de proceso implicado. Esto puede hacer necesario una cierta adaptacin de la direccin para satisfacer un proyecto particular. La ISO 10006 no es una gua a la gerencia de proyecto s mismo. Es un conjunto de pasos con calidad que nos auxiliarn en la forma de desarrollar nuestros productos de tal manera que sean de calidad.

Caractersticas

Directrices para la calidad en la gestin de proyectos Aplicable a proyectos pequeos o grandes, de larga o pequea duracin

No es una gua de administracin de proyectos en s

Es un documento gua, y no utilizado para una certificacin o registro Hace recomendaciones sobre la gestin de la informacin generada por la realizacin del proyecto

Se deben seguir los siguientes pasos por la organizacin

Identificar la informacin crtica Organizar el sistema de coleccin de la informacin (Informacin dentro del proyecto e informacin del entorno y el cliente) Validar y almacenar la informacin

Organizar un sistema que asegure su uso

Ventajas

Reduce la variedad y tipos de productos Reduce inventarios y costos de produccin Mejora la gestin y el diseo de productos Mejora la comercializacin de los productos Agiliza los procesos pedidos

Desventajas

No entra en las fases del proyecto ni describe los procesos necesarios para su ejecucin

No incluye los procesos de gestin de la calidad y, por lo tanto, da a entender que estos procesos no forman parte de la gestin del proyecto

La direccin en calidad en procesos de la gerencia de proyecto se discute en este estndar internacional. La direccin en calidad en los procesos relacionados con el producto de un proyecto, y en el acercamiento de proceso, se cubre adentro ISO 9004. Puesto que la ISO 10006 es un documento de la direccin, no se piensa para ser utilizado para los propsitos de la certificacin/del registro. Es una norma de calidad que lleva como titulo: Gestin de la Calidad Directrices para la calidad en la gestin de proyectos, la cual tiene como objetivo servir de gua en aspectos relativos a elementos, conceptos y prcticas de sistemas de calidad que pueden implementarse en la gestin de proyectos o que pueden mejorar la calidad de la gestin de proyectos.

ISO 27000
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

La ISO 27000 es la norma que explica cmo implantar un Sistema de Gestin de Seguridad de la Informacin en una empresa. La implantacin de una ISO 27000 en una organizacin permite proteger la informacin de sta de la forma ms fiable posible. Se persiguen 3 objetivos:
1. 2. 3.

Preservar la confidencialidad de los datos de la empresa Conservar la integridad de estos datos Hacer que la informacin protegida se encuentre disponible

Qu es la Norma ISO 27000?

Al igual que muchas normas ISO, la norma ISO 27000 se basa en la aplicacin del ciclo PDCA (Plan-Do-Check.Act, Planifica-EjecutaSupervisa-Actua) para la mejora del SGSI en la organizacin.

Quines conforman la familia ISO 27000?

Norma ISO 27000

ISO 27000 Vocabulario estndar para el SGSI ISO 27001 Especifica los requisitos para la implementacin del SGSI ISO 27002 Cdigo de buenas practicas para SGSI

ISO 27003 Directrices para la implementacin del SGSI

ISO 27004 Mtricas para la gestin de seguridad de la informacin ISO 27005 Gestin de riesgos de seguridad de la informacin ISO 27006 Requisitos para la acreditacin de organizaciones que proporcionan certificaciones SGSI ISO 27007 Es una gua para auditar al SGSI ISO 27799 Es una gua para implementar ISO 27002 en la industria de la salud

ISO 21035 Actividades de: deteccin, reporte y evaluacin de incidentes de seguridad y sus vulnerabilidades

A qu tipo de empresas se recomienda la ISO 27000?

Aunque la ISO 27000 puede ser implantada en cualquier tipo de organizacin pblica o privada, es especialmente recomendada para aquellas empresas que, debido al tipo de informacin con la que trabajan (mdica, financiera, sanitaria, laboral, software, asegurados, ), desean garantizar la preservacin y proteccin de sus datos.

Beneficios

Reduce los riesgos de seguridad de la informacin Reduce la probabilidad y el impacto de los incidentes de seguridad

La certificacin de un estndar internacional

Ventajas de marketing Enfoque coherente, estructurado.

Evaluacin integral de riesgos

Focaliza el gasto en seguridad de la informacin donde se prodice mayor ventaja

Ventajas

Aseguramiento de la seguridad de la informacin, lo que aumenta la confianza por parte del cliente Elemento diferenciador, que permite destacar sobre la competencia Cumplimiento de las normativas legales relativas a la proteccin de datos, lo que permite reducir los problemas con clientes y usuarios

Qu hacer para implantar ISO 27000?

Lograr el compromiso de la gerencia Establecer y adiestrar el equipo de implantacin Elaborar la documentacin del SGSI Auditar el SGSI

Qu se debe documentar?

Evaluacin y Tratamiento de riesgos Polticas de Seguridad Aspectos Organizativos Gestin de Activos Seguridad del Talento Humano (antes y durante contratacin) Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de accesos Adquisicin, desarrollo y mantenimiento de S.I Gestin de incidentes de seguridad

Se debe verificar mediante auditorias, que el SGSI esta apto para funcionar Si se presentan inconformidades, se deben solucionar

Se pueden hacer Auditorias Internas para verificar, pero se deben hacer Auditorias Externas para Certificacin, por parte de los organismos autorizados