Académique Documents
Professionnel Documents
Culture Documents
Esta Norma Internacional proporciona orientacin sobre los principios de auditora, la gestin de programas de auditora, la realizacin de auditoras de sistemas de gestin de la calidad y auditoras de sistemas de gestin ambiental, as como sobre la competencia de los auditores de sistemas de gestin de la calidad y ambiental.
Esta norma es aplicable a todas las organizaciones que tienen que realizar auditoras internas o externas de sistemas de gestin de la calidad y/o ambiental o que gestionar un programa de auditora.
La aplicacin de esta Norma Internacional a otros tipos de auditoras es posible en principio, siempre que se preste especial atencin a la identificacin de la competencia necesaria de los miembros del equipo auditor. Indica como auditar los procesos que constituyen al sistema de gestin de la calidad. Esta norma se enfoca hacia cuatro aspectos relativos a la realizacin de auditoras:
1- Principios de auditora 2- Gestin de un programa de auditora 3- Actividades de auditora 4- Competencia y evaluacin de los auditores
Principios de Auditoria
PRINCIPIOS A LOS AUDITORES
PRINCIPIOS A LA AUDITORIA
Principios de Auditora
La auditoria se caracteriza por depender de varios principios. stos hacen de la auditora una herramienta eficaz y fiable en apoyo de las polticas y controles de gestin, proporcionando informacin sobre la cual una organizacin puede actuar para mejorar su desempeo. La adhesin a esos principios es un requisito previo para proporcionar conclusiones de la auditora que sean pertinentes y suficientes, y para permitir a los auditores trabajar independientemente entre s para alcanzar conclusiones similares en circunstancias similares.
Conducta tica: el fundamento de la profesionalidad Presentacin ecunime: la obligacin de informar con veracidad y exactitud Debido cuidado profesional: la aplicacin de diligencia y juicio al auditar
b)
c)
Principios a la Auditoria
a)
b)
Enfoque basado en la evidencia: el mtodo racional para alcanzar conclusiones de la auditora fiables y reproducibles en un proceso de auditora sistemtico
Generalidades
Un programa de auditora puede incluir una o ms auditoras, dependiendo del tamao, la naturaleza y la complejidad de la organizacin que va a ser auditada.
Incluye todas las actividades necesarias para planificar y organizar el tipo y nmero de auditoras, y para proporcionar los recursos para llevarlas a cabo de forma eficaz y eficiente dentro de los plazos establecidos.
a) los recursos financieros necesarios para desarrollar, implementar, dirigir y mejorar las actividades de la auditora, b) las tcnicas de auditora, c) los procesos para alcanzar y mantener la competencia de los auditores, y para mejorar su desempeo,
d) la disponibilidad de auditores y expertos tcnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditora,
e) la amplitud del programa de auditora, y f) el tiempo de viaje, alojamiento y otras necesidades de la auditora.
a) la comunicacin del programa de auditora a las partes pertinentes; b) la coordinacin y elaboracin del calendario de las auditoras y otras actividades relativas al programa de auditora; c) el establecimiento y mantenimiento de un proceso para la evaluacin de los auditores y su continuo desarrollo profesional, de acuerdo con los apartados 7.6 y 7.5 respectivamente; d) asegurarse de la seleccin de los equipos auditores;
e) la provisin de los recursos necesarios para los equipos auditores; f) asegurarse de la realizacin de las auditoras de acuerdo con el programa de auditora; g) asegurarse del control de los registros de las actividades de la auditora; h) asegurarse de la revisin y aprobacin de los informes de la auditora, y asegurarse de su distribucin al cliente de la auditora y a otras partes especificadas; y i) asegurarse del seguimiento de la auditora, si es aplicable.
Los registros deberan conservarse para demostrar la implementacin del programa de auditora y deberan incluir lo siguiente: registros relacionados con auditoras individuales, tales como:
a)
planes de auditora, informes de auditora, informes de no conformidades, informes de acciones correctivas y preventivas, e informes del seguimiento de la auditora, si es aplicable.
b)
resultados de la revisin del programa de auditora; registros relacionados con el personal de la auditora que traten aspectos tales como:
c)
competencia del auditor y evaluacin desempeo, seleccin del equipo auditor, y mantenimiento y mejora de la competencia.
La implementacin del programa de auditora debera seguirse y revisarse a intervalos apropiados para evaluar si se han cumplido sus objetivos y para identificar las oportunidades de mejora. Los resultados deberan comunicarse a la alta direccin. Deberan utilizarse indicadores de desempeo para el seguimiento de caractersticas tales como:
a) los resultados y las tendencias del seguimiento, b) la conformidad con los procedimientos, c) las necesidades y expectativas cambiantes de las partes interesadas, d) los registros del programa de auditora, e) las prcticas de auditora alternativas o nuevas, y f) la coherencia en el desempeo entre los equipos auditores en situaciones similares.
Actividades de la Auditoria
INICIO DE AUDITORIA REVISIN DE LA DOCUMENTACIN PREPARACIN DE LAS ACTIVIDADES DE AUDITORA IN SITU. REALIZACIN DE LAS ACTIVIDADES DE AUDITORA IN SITU PREPARACIN, APROBACIN Y DISTRIBUCIN DEL INFORME DE LA AUDITORA FINALIZACIN DE LA AUDITORA REALIZACIN DE LAS ACTIVIDADES DE SEGUIMIENTO DE UNA AUDITORA
Inicio de Auditoria
Designacin del lder del equipo auditor Definicin de los objetivos, el alcance y los criterios de auditora Determinacin de la viabilidad de la auditora Seleccin del equipo auditor Establecimiento del contacto inicial con el auditado
Preparacin del plan de auditora Asignacin de las tareas al equipo auditor Preparacin de los documentos de trabajo
Realizacin de la reunin de apertura Comunicacin durante la auditora Papel y responsabilidades de los guas y observadores Recopilacin y verificacin de la informacin Generacin de hallazgos de la auditora Preparacin de las conclusiones de la auditora
Finalizacin de la auditora
La auditora finaliza cuando todas las actividades descritas en el plan de auditora se hayan realizado y el informe de la auditora aprobado se haya distribuido.
Los documentos pertenecientes a la auditora deberan conservarse o destruirse de comn acuerdo entre las partes participantes y de acuerdo con los procedimientos del programa de auditora y los requisitos legales, reglamentarios y contractuales aplicables.
Las conclusiones de la auditora pueden indicar la necesidad de acciones correctivas, preventivas, o de mejora, segn sea aplicable. Tales acciones generalmente son decididas y emprendidas por el auditado en un intervalo de tiempo acordado y no se consideran parte de la auditora. El auditado debera mantener informado al cliente de la auditora sobre el estado de estas acciones.
El ltimo bloque se la norma se dedica a las directrices para el diseo e implementacin de un modelo de gestin para la competencia y evaluacin de los auditores. Indudablemente, la dedicacin de un bloque entero de la norma nos da a entender que la disponibilidad de equipos de auditora competentes se considera uno de los pilares fundamentales para el correcto funcionamiento de un programa de auditoras.
ISO 9126
ES ESTNDAR INTERNACIONAL PARA EVALUACIN DE CALIDAD DEL SOFTWARE.
La ISO, bajo la norma ISO-9126 ha establecido un estndar internacional para la evaluacin de la calidad de productos de software el cual fue publicado en 1992 con el nombre de Information Technology- Software Product Evaluation: Quality Characteristics and Guidelines for Their Use, en el cual se establecen las caractersticas de calidad para productos de software.
Validar la integridad de una definicin de requisitos; Identificar los requisitos del software; Identificar los objetivos del diseo del software; Identificar los objetivos de la prueba de software; Identificar el criterio de aseguramiento de calidad; Identificar el criterio de aceptacin para un producto de software completo. Priorizar los recursos en los aspectos ms importantes en trminos de calidad.
El estndar ISO 9126 establece que cualquier componente de la calidad del software puede ser descrito en trminos de una o mas de seis caractersticas bsicas, las cuales son: Funcionalidad Confiabilidad Usabilidad Eficiencia Mantenibilidad Portabilidad
Funcionalidad
Un sistema de las cualidades que refieren la existencia de un sistema de funciones y de sus caractersticas especificadas. Las funciones son las que satisfacen necesidades indicadas o implicadas. o Conveniencia o Exactitud o Interoperabilidad o Conformidad o Seguridad
Confiabilidad
Un sistema de las cualidades que refieren la capacidad del software para mantener su nivel del funcionamiento bajo condiciones indicadas por un perodo del tiempo indicado. o Madurez o Recuperabilidad o Tolerancia de avera
Utilidad
Un sistema de las cualidades que refieren el esfuerzo necesit para el uso, y en el gravamen individual de tal uso, por un sistema indicado o implicado de usuarios. o Learnability o Understandability o Operability
Eficacia
Un sistema de las cualidades que refieren la relacin entre el nivel del funcionamiento del software y la cantidad de recursos usados, bajo condiciones indicadas. o Comportamiento de Tiempo o Comportamiento del recurso
Capacidad de mantenimiento
Un sistema de las cualidades que refieren el esfuerzo necesit hacer modificaciones especificadas. o Estabilidad o Analyzability o Changeability o Testability
Portabilidad
Un sistema de las cualidades que refieren la capacidad del software de ser transferido a partir de un ambiente a otro. o Installability o Reemplazabilidad o Adaptabilidad
El estndar proporciona un marco para las organizaciones para definir un modelo de la calidad para un producto de software. En hacer as pues, sin embargo, deja hasta cada organizacin la tarea de especificar exacto su propio modelo. Esto se puede hacer, por ejemplo, especificando los valores de blanco para la mtrica de la calidad que evala el grado de presencia de las cualidades de la calidad.
Las mtricas internas son las que no confan en la ejecucin del software (medidas estticas). Las mtricas externas son aplicables al software corriente. Las mtricas funcionando de la calidad estn solamente disponibles cuando el producto final se utiliza en condiciones verdaderas. Idealmente, la calidad interna determina la calidad externa y la calidad externa determina la calidad funcionando.
Este estndar proviene modelo establecido en 1977 de McCall y de sus colegas, que propusieron un modelo para especificar calidad del software. El modelo de la calidad de McCall se organiza alrededor de tres tipos de caractersticas de la calidad: Factores (especificar): Describen la vista externa del software, segn lo visto por los usuarios. Criterios (construir): Describen la vista interna del software, segn lo visto por el revelador. Mtrica (al control): Se definen y se utilizan para proporcionar una escala y un mtodo para la medida. La ISO 9126 distingue entre un defecto y una inconformidad, a defecto siendo El incumplimiento de los requisitos previstos del uso, mientras que a inconformidad es El incumplimiento de requisitos especificados. Una distincin similar se hace entre la validacin y la verificacin
ISO 10006
SISTEMAS DE GERENCIA DE LA CALIDAD
La ISO 10006 da la direccin en el uso de la gerencia de la calidad en proyectos. Es aplicable a los proyectos de la complejidad que vara, pequeo o grande, de la duracin corta o larga, en diversos ambientes, y con independencia de la clase de producto o de proceso implicado. Esto puede hacer necesario una cierta adaptacin de la direccin para satisfacer un proyecto particular. La ISO 10006 no es una gua a la gerencia de proyecto s mismo. Es un conjunto de pasos con calidad que nos auxiliarn en la forma de desarrollar nuestros productos de tal manera que sean de calidad.
Caractersticas
Directrices para la calidad en la gestin de proyectos Aplicable a proyectos pequeos o grandes, de larga o pequea duracin
Identificar la informacin crtica Organizar el sistema de coleccin de la informacin (Informacin dentro del proyecto e informacin del entorno y el cliente) Validar y almacenar la informacin
Ventajas
Reduce la variedad y tipos de productos Reduce inventarios y costos de produccin Mejora la gestin y el diseo de productos Mejora la comercializacin de los productos Agiliza los procesos pedidos
Desventajas
No entra en las fases del proyecto ni describe los procesos necesarios para su ejecucin
No incluye los procesos de gestin de la calidad y, por lo tanto, da a entender que estos procesos no forman parte de la gestin del proyecto
La direccin en calidad en procesos de la gerencia de proyecto se discute en este estndar internacional. La direccin en calidad en los procesos relacionados con el producto de un proyecto, y en el acercamiento de proceso, se cubre adentro ISO 9004. Puesto que la ISO 10006 es un documento de la direccin, no se piensa para ser utilizado para los propsitos de la certificacin/del registro. Es una norma de calidad que lleva como titulo: Gestin de la Calidad Directrices para la calidad en la gestin de proyectos, la cual tiene como objetivo servir de gua en aspectos relativos a elementos, conceptos y prcticas de sistemas de calidad que pueden implementarse en la gestin de proyectos o que pueden mejorar la calidad de la gestin de proyectos.
ISO 27000
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN
La ISO 27000 es la norma que explica cmo implantar un Sistema de Gestin de Seguridad de la Informacin en una empresa. La implantacin de una ISO 27000 en una organizacin permite proteger la informacin de sta de la forma ms fiable posible. Se persiguen 3 objetivos:
1. 2. 3.
Preservar la confidencialidad de los datos de la empresa Conservar la integridad de estos datos Hacer que la informacin protegida se encuentre disponible
Al igual que muchas normas ISO, la norma ISO 27000 se basa en la aplicacin del ciclo PDCA (Plan-Do-Check.Act, Planifica-EjecutaSupervisa-Actua) para la mejora del SGSI en la organizacin.
ISO 27000 Vocabulario estndar para el SGSI ISO 27001 Especifica los requisitos para la implementacin del SGSI ISO 27002 Cdigo de buenas practicas para SGSI
ISO 21035 Actividades de: deteccin, reporte y evaluacin de incidentes de seguridad y sus vulnerabilidades
Aunque la ISO 27000 puede ser implantada en cualquier tipo de organizacin pblica o privada, es especialmente recomendada para aquellas empresas que, debido al tipo de informacin con la que trabajan (mdica, financiera, sanitaria, laboral, software, asegurados, ), desean garantizar la preservacin y proteccin de sus datos.
Beneficios
Reduce los riesgos de seguridad de la informacin Reduce la probabilidad y el impacto de los incidentes de seguridad
Ventajas
Aseguramiento de la seguridad de la informacin, lo que aumenta la confianza por parte del cliente Elemento diferenciador, que permite destacar sobre la competencia Cumplimiento de las normativas legales relativas a la proteccin de datos, lo que permite reducir los problemas con clientes y usuarios
Lograr el compromiso de la gerencia Establecer y adiestrar el equipo de implantacin Elaborar la documentacin del SGSI Auditar el SGSI
Qu se debe documentar?
Evaluacin y Tratamiento de riesgos Polticas de Seguridad Aspectos Organizativos Gestin de Activos Seguridad del Talento Humano (antes y durante contratacin) Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de accesos Adquisicin, desarrollo y mantenimiento de S.I Gestin de incidentes de seguridad
Se debe verificar mediante auditorias, que el SGSI esta apto para funcionar Si se presentan inconformidades, se deben solucionar
Se pueden hacer Auditorias Internas para verificar, pero se deben hacer Auditorias Externas para Certificacin, por parte de los organismos autorizados