BASC Bogotá - Colombia

FORMACIÓN AUDITOR INTERNO

NORMA BASC V6:2022
DOCENTE PAULA ANDREA SANCHEZ RUZ

[Link]
 CONTENIDO

Etapas de la
Seguimiento
auditorí

Informe Planeación

Ejecución Preparación

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
ETAPAS DE LA AUDITORÍA
 Planeación Preparación Ejecución Informe Seguimiento

Ing. Paula Sanchez

 CONTEXTO INTERNO FACTORES FACTORES

PLANIFICACIÓN SISTEMAS DE GESTIÓN

GESTIÓN DE RIESGOS

DETERMINACIÓN DE REQ UISITOS Y EXPECTATIVAS

SEGUIMIENTO Y MEDICIÓN AL CUMPLIMIENTO

EXPECTATIVAS / REQUISITOS DE LAS PARTES INTERESADAS
C

MAPA DE PROCESOS O
M

PARTES INTERESADAS
E

CUMPLIMIENTO
OPERACIONES FACTURACIÓN
R (IPORTACIONES - EXPORTACIONES)
Y CARTERA
C
I
A
L

GESTIÓN DE RIESGOS

ADMINISTRATIVO
SG-SST
(Compras - Gestión Humana - TIC

CONTEXTO EXTERNO FACTORES FACTORES

PROCESOS DE PROCESOS LIDERAZGO PROCESO DE FLUJO DE PARTES MEJORA

CREACIÓN DE VALOR - ALTA GERENCIA APOYO INFORMACIÓN INTERESADAS CONTINUA

04 de Abril de 2021
MAPA DE PROCESOS PLS-MP-001
 CARACTERIZACIÓN DE PROCESO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 CARACTERIZACIÓN DE PROCESO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 PROGRAMA DE AUDITORÍA

Es el conjunto de una o más

auditorías planificadas para un
período de tiempo determinado y
dirigidas hacia un propósito
específico.

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
Ing. Paula Sanchez
 ASPECTOS A TENER EN CUENTA • Revisar el programa de auditorías y que coincidan las
fechas en el programa con las fechas en el plan.
• Mapa de procesos.
• Criterios de auditoría.
• Resultados de auditoría inmediatamente anterior
(Interna y Externa).
• Identificar al equipo auditor.
• Tener en cuenta todas las actividades (Reunión de
apertura, reunión de cierre, breaks, traslados, tiempos
requeridos por el equipo auditor, etc.)

Ing. Paula Sanchez Ing. Paula Sanchez

MAPA DE PROCESOS
EQUIPO AUDITOR
AUDITOR LÍDER
LUISA PEREZ

AUDITOR AUDITOR
CARLOS HOO PETER LOPÉZ

Ing. Paula Sanchez

 MATRIZ DE REQUISITOS VS
PROCESOS

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
 PLAN DE AUDITORÍA

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
 PLAN DE AUDITORÍA

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
TALLER
 ELABORE EL PLAN DE
AUDITORÍA DE LA EMPRESA
EXPORTACIONES COLOMBIA
TENIENDO EN CUENTA LO
SIGUIENTE
MAPA DE PROCESOS
EQUIPO AUDITOR
AUDITOR LÍDER
LUISA PEREZ

AUDITOR AUDITOR
CARLOS HOO PETER LOPÉZ

Ing. Paula Sanchez

REPORTE DE HALLAZGOS 2021

PLANIFICACIÓN SISTEMAS COMERCIAL OPERACI FACTURACIÓ ADMINISTRATIVO SGSST

DE GESTIÓN ONES N Y CARTERA
F 1 3 0 1 0 0 0
OBS 0 1 1 2 0 3 0
NCm 0 0 1 2 0 2 0
NCM 0 0 0 0 0 1 0

Ing. Paula Sanchez

LISTA DE CHEQUEO
 ENTRADAS PARA LA ELABORACIÓN

• Caracterización de Proceso.

• Matriz de Requisitos Vs Procesos.

• Manual del SGCS.

• Documentos del Sistema.

• Requisitos Legales Aplicables al Proceso.

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
 UTILIDAD DE LA LISTA DE CHEQUEO

• Ayudar a la gestión del tiempo, indicando lo que ha de

cubrirse en cada proceso.

• Recopilar las evidencias de la auditoría en orden lógico.

• Facilitar el cubrimiento de cada actividad, obteniendo

respuesta para los requerimientos.

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
 PREGUNTAS EN LA LISTA DE CHEQUEO

• EN LENGUAJE DE LA EMPRESA
Basadas en requisitos de la norma
y estándares BASC - ISO - OEA

• Deben estar dirigidas a la

verificación del propósito y
alcance de la auditoría.

• Asegurar que produzcan

respuestas que permitan al
auditor valorar efectivamente la
situación evaluada.

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
 LISTA DE CHEQUEO RRHH

REQUISITO TEMA PREGUNTA HALLAZGO COMENTARIO

OEA 1.2

BASC N 6.1 Gestión de

Riesgos
ISO 28000
4.3.1

BASC Bogotá - Colombia

Ing. Paula Sanchez [Link]
 LISTA DE CHEQUEO

Ing. Paula Sanchez

 PLAN DE AUDITORÍA
Centro de Entrenamiento BASC Bogotá

Ing. Paula A. Sanchez R

 LIDERAZGO

5.2.2 Comunicación de la política

La política se debe:

a) Mantener como información documentada.

b) Comunicar y entender en todos los niveles de la empresa.

c) Comunicar y mantener disponible para las partes interesadas.

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 5.2.2 Comunicación de la
política

La política se debe:

a) Mantener como
información
documentada.

b) Comunicar y entender
en todos los niveles de
la empresa.

c) Comunicar y mantener
disponible para las
partes interesadas.

Ing. Paula Sanchez

TALLER
 ETAPAS DE LA AUDITORÍA

PLANEACIÓN PREPARACIÓN EJECUCIÓN INFORME SEGUIMIENTO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 ETAPAS DE LA AUDITORÍA IN SITU

GENERACIÓN
EVALUACIÓN DE
DEL SISTEMA HALLAZGOS

CIERRE DE
REUNIÓN DE AUDITORÍA
APERTURA

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 CONTENIDO DE LA REUNIÓN DE APERTURA

- Presentación de los equipos auditor y auditado.

- Confirmación del plan de la auditoría.
- Confirmación del cronograma de la auditoría.
- Confirmación de enlaces de comunicación.
- Tipos de hallazgo.
- Muestreo
BASC Bogotá - Colombia
Ing. Paula Sanchez
[Link]
 CONTENIDO DE LA REUNIÓN DE APERTURA

- Funciones de los
- Método de auditores
- Confirmación
comunicación acompañantes, en
disponibilidad de - Requisitos de Solución de
entre el auditado y entrenamiento
recursos e confidencialidad. inquietudes.
auditor durante el (Observadores),
infraestructura.
proceso. experto técnico
según aplique.

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 ETAPAS DE LA AUDITORÍA IN SITU

GENERACIÓN
EVALUACIÓN DE
DEL SISTEMA HALLAZGOS

CIERRE DE
REUNIÓN DE AUDITORÍA
APERTURA

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
Ing. Paula Sanchez
 EVALUACIÓN DEL SISTEMA

• Seguir el plan de auditoría.

• Entrevista.
• Permanecer con disposición amable y profesional.
• Examine suficiente evidencia objetiva en todas las etapas.
• Considere el impacto de la observación.
• Seguimiento natural.
• Tomar nota y registrar la evidencia.
• Enlaces con el equipo auditor.

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 MUESTREO
¿Cómo?
• Utilizando un
¿Qué? método de
• Selección de una muestreo
¿Por qué? muestra. adecuado.
• Por que un
auditor no
puede verificar
todo.

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 2. Determinar
1. Definir la
el método de
población.
muestreo.

3. Determinar 4. Ejecutar el
MUESTREO el tamaño de la plan de
muestra. muestreo.

5. Evaluar los
resultados.

Ing. Paula Sanchez

 RECOLECCIÓN DE INFORMACIÓN

ENTREVISTAS REGISTROS DOCUMENTOS

BD Y SITIO DE
OBSERVACIONES INDICADORES
INTERNET

Ing. Paula Sanchez

 Tipos de preguntas
Inicio
 Abiertas  Capciosas ?
Abierta
 Sondeo  Agresivas
 Cerradas  Múltiples
NO
Respuesta Ok? Sondeo
SI
SI
NO
SI
Más información?
 Dónde
Respuesta Ok?
 Qué
NO
 Cuándo
Cerrada  Cómo
 Por qué
SI NO
 Quién
Final Respuesta Ok?

Ing. Paula Sanchez

 ETAPAS DE LA AUDITORÍA IN SITU

GENERACIÓN
EVALUACIÓN DE
DEL SISTEMA HALLAZGOS

CIERRE DE
REUNIÓN DE AUDITORÍA
APERTURA

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 REDACCIÓN DE LOS HALLAZGOS DE LA AUDITORÍA Y
DE LOS INFORMES DE NO CONFORMIDADES:

Es apropiado evaluar la evidencia de auditoría

respecto de los criterios de auditoría para emitir
conclusiones de auditoría.

Los hallazgos de auditoría pueden indicar

conformidad, no conformidad y oportunidades para
la mejora o las buenas prácticas.

Ing. Paula Sanchez

 POBRECITA!
No pudo encontrar
ninguna no
conformidad

GENERACIÓN DE
HALLAZGOS

• Resultado de la
evaluación de la
auditoría recopilada
frente a los criterios de
la auditoría

• Los hallazgos no se
pueden sacar de la
nada.
 PREPARACIÓN DE LAS
CONCLUSIONES

Previo a la reunión de cierre el equipo auditor

debe:

• Revisar los hallazgos de la auditoría, así como

cualquier otra información apropiada
recopilada durante la auditoría, frente los
objetivos de la auditoría.
• Ponerse de acuerdo sobre las conclusiones de
la auditoría con el equipo auditor.
• Preparar las recomendaciones, si está definido
en los objetivos de la auditoría.

Ing. Paula Sanchez

 ETAPAS DE LA AUDITORÍA IN SITU

GENERACIÓN
EVALUACIÓN DE
DEL SISTEMA HALLAZGOS

CIERRE DE
REUNIÓN DE AUDITORÍA
APERTURA

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
REUNIÓN DE CIERRE
 REUNIÓN DE CIERRE

¿Quién? ¿Qué? ¿Cuándo? ¿Dónde? ¿Cómo?

• Equipo • Presentar las • Conforme • Mediante • Comunicación

auditor, conclusiones plan de video oral
miembro de de la auditoría auditoría, conferencia preparada.
la dirección y notificar los generalmente y/o en sala de
del auditado. hallazgos último día en conferencias.
identificados. sitio de la
auditoría.

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 AGENDA DE
REUNIÓN DE CIERRE
• Lista de asistencia.
• Agradecimientos.
• Objetivos y alcance de la auditoría.
• Criterios auditados.
• Fortalezas.
• Presentación de las oportunidades de mejora.
• Presentación de las observaciones.
• Presentación de las no conformidades.
• Limitaciones.
• Espacio para preguntas y respuestas.

Ing. Paula Sanchez • Conclusiones.

 ETAPAS DE LA AUDITORÍA

PLANEACIÓN PREPARACIÓN EJECUCIÓN INFORME SEGUIMIENTO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 • El líder del equipo auditor debe ser
responsable de la preparación y el
contenido del informe de auditoría.
PREPARACIÓN
DEL INFORME • El informe de auditoría debe proporcionar
una imagen clara, precisa, concisa y
completa de la auditoría.

• Debe ser un informe por escrito.

Ing. Paula Sanchez

 CONTENIDO DEL INFORME

Identificación del
Objetivos de Alcance de la Cliente de la equipo auditor y los
auditoría. auditoría. auditoría. participantes del
auditado.

Las fechas y sitios de Los criterios de la Hallazgos de la Conclusiones de la

la auditoría. auditoría. auditoría. auditoría.

Conclusiones sobre Observaciones

lo apropiado del generales y aspectos
alcance del sistema a tener en cuenta en
de gestión. la próxima auditoría.

Ing. Paula Sanchez

 LO QUE NO DEBE INCLUIR
UN INFORME DE AUDITORÍA
• Opiniones subjetivas.

• Información confidencial.

• Crítica a individuos.

• Declaraciones ambiguas.

• Detalles triviales.

• Observaciones, Hallazgos, no conformidades que no fueron discutidos

en la reunión de cierre.

Ing. Paula Sanchez

 CONCLUSIONES • Adecuación de la documentación.

DE LA •

•
Disponibilidad de registros.

Capacitación, conocimiento y competencia del

AUDITORÍA personal.

• Conformidad con relación a los requisitos de la norma

auditada.

• Suficiencia de los recursos y el ambiente de trabajo.

• Grado de eficacia del proceso.

• Contribución del proceso para el logro de los

objetivos y metas de la organización.

• El grado de conformidad del proceso frente a los

criterios de la auditoría (Ej.: Legislación, cliente).

• La eficaz implementación, mantenimiento y mejora

del proceso.

Ing. Paula Sanchez

EJEMPLO DE INFORME DE AUDITORÍA

BASC Bogotá - Colombia

[Link]
 EJEMPLO DE INFORME DE AUDITORÍA

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
EJEMPLO DE INFORME DE AUDITORÍA

[Link]
EJEMPLO DE INFORME DE AUDITORÍA
DISTRIBUCIÓN DEL INFORME

• El informe de auditoría deberá ser:

1. Fechado, verificado y aprobado.

2. Distribuido a los destinatarios.

BASC Bogotá - Colombia

[Link]
CIERRE DE LA AUDITORÍA
 CIERRE GENERAL DE LA AUDITORÍA

La auditoría se completa cuando se han realizado y aprobado todas las

actividades descritas en el plan de auditoría y cuando se ha distribuido
el informe de auditoría.

Es apropiado archivar, devolver o destruir los documentos

relacionados con la auditoría, según lo acordado por las partes
participantes.

Ing. Paula Sanchez

 • Deben cumplir con el procedimiento de acciones
correctivas, preventivas y de mejora definido por la
organización.
• Deben contar con un adecuado análisis de causas.
PLANES DE • Deben permitir prevenir la recurrencia de la no
ACCIÓN conformidad.
• Deben incluir un período de ejecución.
• Deben permitir obtener resultados verificables.
• Deben ser eficaces.

Ing. Paula Sanchez

 ETAPAS DE LA AUDITORÍA

PLANEACIÓN PREPARACIÓN EJECUCIÓN INFORME SEGUIMIENTO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 Verificar las respuestas a las
solicitudes de acciones
correctivas y preventivas.
SEGUIMIENTO
DE ACCIONES Elaborar programa de
CORRECTIVAS – seguimiento a hallazgos de la
auditoría.
PREVENTIVAS –
DE MEJORA
Verificar la eficacia de las
acciones implementadas.

Ing. Paula Sanchez

 Elaborar el informe de la auditoría de
seguimiento (Si aplica).

ACCIONES Registrar la solución de las no

conformidades o ejecutar un nuevo
FINALES programa de implementación de acciones.

Declarar el cumplimiento satisfactorio de

las acciones correctivas, preventivas o de
mejora. (Eficacia).

Ing. Paula Sanchez

 Programa de auditoría.

Plan de auditoría.

REGISTROS Listas de verificación.

SOPORTE DEL Registros de asistencia a reuniones de apertura y de cierre.

Informes de auditoría.
PROCESO DE Respuestas a las AC / AM / AP.

AUDITORÍA Seguimiento y verificación de la AC / AM / AP.

Calificaciones del auditor.

Correspondencia interna asociada al proceso de auditoría.

Ing. Paula Sanchez

 10. AUDITORÍA

Proceso sistemático, independiente y documentado para obtener evidencias y determinar de

manera objetiva el grado en que se cumplen los criterios del SGCS BASC y su capacidad para
alcanzar los resultados planificados.

10.3 CRITERIO

NORMA BASC – GLOSARIO DE Requisitos de la Norma y Estándares Internacionales de Seguridad BASC aplicables, así como la
documentación declarada en el SGCS, contra los cuales se compara la evidencia de auditoría.
TÉRMINOS Y DEFINICIONES
10.5 HALLAZGOS
Resultado de la evaluación de la evidencia frente a los criterios de auditoría.

Ing. Paula Sanchez

10.5 HALLAZGOS

10.5.1 FORTALEZA
Esfuerzo superlativo que evidencia la empresa, del cumplimiento de un requisito o de
un aspecto que mejora o refuerza el SGCS.

10.5.2 NO CONFORMIDAD MAYOR

Ausencia total de evidencia con respecto al cumplimiento de un criterio de auditoría,
o que pone en riesgo la integridad o eficacia del SGCS BASC. Nota: se puede
considerar una no conformidad mayor, una cantidad de 3 no conformidades menores
en un mismo proceso; 3 no conformidades menores del mismo requisito en 3
procesos diferentes o; la recurrencia de una no conformidad menor en una auditoria
previa.

10.5.3 NO CONFORMIDAD MENOR

Incumplimiento parcial de un criterio de auditoría que no pone en riesgo la integridad
o eficacia del SGCSBASC.

Ing. Paula Sanchez

 10.5 HALLAZGOS

10.5.4 OPORTUNIDADES DE MEJORA

Aportes del auditor, con base en el análisis de las evidencias que permiten generar
valor agregado. No requieren ser gestionadas y no son un elemento vinculante en
los procesos de auditoría.

10.5.5 OBSERVACIÓN
Hallazgo referente a un requisito del SGCS, cuya evidencia no permite determinar la
conformidad o no contra un criterio, al que debe darse seguimiento mediante las
acciones correspondientes para su definición y tratamiento.

Ing. Paula Sanchez

 3.8 EVIDENCIA OBJETIVA
Datos que soportan la existencia o veracidad de algo.

NORMA 19011 – TÉRMINOS Y

DEFINICIONES 3.9 EVIDENCIA DE AUDITORÍA
Registros, declaraciones de hecho u otra información que es relevante para el
criterio de auditoría y que es verificable

Ing. Paula Sanchez

 Internos: Fotografías / Imágenes CCTV /
Propios de la empresa Instructivos / Formatos / Registros
(Impresos o en medio magnético) /
Externos: Actas / Revisiones / Informes /
- Legales Inspecciones / Guías / Bases de
- Asociados de negocio datos / Listados / Entrevistas /
- BASC Indicadores / Demostraciones /
Encuestas / Sitios WEB / Observación
de actividades / Licencias /
Autorizaciones / Reportes / Planes /
Programas / Planos / Contratos …

¿CÓMO SE CATEGORIZAN LOS HALLAZGOS?

Ing. Paula Sanchez
MODELO DE REPORTE DE
HALLAZGOS
 REPORTE DE HALLAZGOS

• Con el fin de proporcionar trazabilidad,

facilitar las revisiones de progreso, y
evidencia de finalización de las acciones
correctivas y su efectividad, es esencial que
las no conformidades se registren y
documenten de manera sistemática. Una
forma simple de lograr esto es mediante el
uso de un formulario de informe de no
conformidad (SAC, Reporte de Hallazgos y
otros).

Ing. Paula Sanchez

Ing. Paula A. Sanchez R
 EJEMPLO DE REPORTE DE
HALLAZGO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 EJEMPLO DE REPORTE DE
HALLAZGO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 EJEMPLO DE REPORTE DE
HALLAZGO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 EJEMPLO DE REPORTE DE
HALLAZGO

BASC Bogotá - Colombia

Ing. Paula Sanchez
[Link]
 COMPONENTES DE UN
HALLAZGO DE AUDITORÍA
COMPONENTES DE UN HALLAZGO DE AUDITORÍA

UNA NO CONFORMIDAD DEBE CONTAR CON:

La declaración de La evidencia de El requisito

la no conformidad auditoría

Si las tres partes de la no conformidad están bien documentadas, el

auditado, o cualquier otra persona con conocimiento, podrá leer y
entender la no conformidad. Este también servirá como un registro
útil para futuras referencias.
BASC Bogotá - Colombia
[Link]
Ing. Paula Sanchez
 DOCENTE: ING. PAULA A. SANCHEZ R.

ANALICEMOS LA
SIGUIENTE SITUACIÓN
Nos encontramos auditando el proceso de almacén
de la organización Exportaciones Colombia y al visitar
el almacén de productos terminados en la bodega No
10; encontramos que se habían asignado 5 llaves a
esta área; al consultar con el líder del proceso frente
al método de control de dichas llaves se comunicó
que estas se controlaban a través del registro ADM-F-
015 Control de llaves. Se procedió a identificar las
llaves asociadas al almacén encontrándose que 2 de
las 5 llaves no se encontraban relacionadas en el
registro.

Ing. Paula Sanchez

 TÉCNICA DE REDACCIÓN DE NO
CONFORMIDADES:
APLICACIÓN TÉCNICA HMEI

EJEMPLO 1:
No conformidad menor:

HECHO: Al visitar el almacén de productos

terminados en la bodega No 10;
MAGNITUD: se encontró que 2 de las 5 llaves que
estaban asignadas al área
EVIDENCIA: no se encontraban relacionadas en el
registro ADM-F-015 Control de llaves
INCUMPLIMIENTO: incumpliendo con el requisito
del Estándar 5.2.2 literal b que indica que la empresa
debe establecer, documentar y mantener
actualizado el control de llaves, dispositivos y claves
de acceso.

Ing. Paula Sanchez

 TÉCNICA DE REDACCIÓN DE NO
CONFORMIDADES:
APLICACIÓN TÉCNICA HMEI

No conformidad menor:
Al visitar el almacén de productos terminados en
la bodega No 10; se encontró que 2 de las 5 llaves
que estaban asignadas al área no se encontraban
relacionadas en el registro ADM-F-015 Control de
llaves incumpliendo con el requisito del Estándar
5.2.2 literal b que indica que la empresa debe
establecer, documentar y mantener actualizado el
control de llaves, dispositivos y claves de acceso.

Ing. Paula Sanchez

 TÉCNICA DE REDACCIÓN DE NO
CONFORMIDADES:
DESCRIPCIÓN + EVIDENCIA
OBJETIVA

EJEMPLO 2:
No conformidad menor:
La organización no cumple con lo establecido en
el estándar 5.2.2 literal b que indica que la
empresa debe establecer, documentar y
mantener actualizado el control de llaves,
dispositivos y claves de acceso.
EVIDENCIA OBJETIVA
Al visitar el almacén de productos terminados en
la bodega No 10; se encontró que 2 de las 5 llaves
que estaban asignadas al área no se encontraban
relacionadas en el registro ADM-F-015 Control de
llaves.

Ing. Paula Sanchez

¿CÓMO SE
REDACTAN LAS
FORTALEZAS?
 ANALICEMOS LA
SIGUIENTE SITUACIÓN

Al solicitar el registro de los backup de la

organización se evidencia que se cuenta
con ejecución de 4 backup en replica
ubicados externamente y conservados de
manera segura, adicional a lo anterior la
organización cuenta con dos backup
locales y un backup en tiempo real en la
nube todos debidamente documentados y
conservados de manera segura.

DOCENTE: ING. PAULA A. SANCHEZ R.

Comparemos la evidencia con el Requisito…

6.2 Ciberseguridad y las tecnologías de la información

La empresa debe:

j) Realizar copias de seguridad de la información sensible, manteniendo un

respaldo fuera de las instalaciones (física o virtual) con las medidas de seguridad
necesarias para impedir que terceros accedan a la información.

BASC Bogotá - Colombia

[Link]
 COMPONENTES DE LA
FORTALEZA

Aspecto a resaltar

Evidencia objetiva

Impacto positivo

Requisito

DOCENTE: ING. PAULA A. SANCHEZ R.

 FORTALEZA

Estándar 6.2 literal J

Se resalta para el sistema de gestión los 4
backup en replica ubicados externamente y
conservados de manera segura; así como
los dos backup locales y un backup en
tiempo real en la nube; con los que cuenta
la organización permitiendo disminuir las
consecuencias frente a un posible ataque
con perdida de información.

DOCENTE: ING. PAULA A. SANCHEZ R.

 ANALICEMOS LA
SIGUIENTE SITUACIÓN

• Al solicitar el registro de la actualización de

datos del personal encontramos que esta se
efectúa semestralmente, al solicitar 10 carpetas
de colaboradores pudimos evidenciar que dicha
actualización se hace en los tiempos definidos
por la empresa.

DOCENTE: ING. PAULA A. SANCHEZ R.

 FORTALEZA

Estándar 4.1.3 literal B

Se resalta para el sistema de gestión las dos
verificaciones de antecedentes efectuadas
por la empresa anualmente, fortaleciendo
la identificación de señales de alerta
asociadas con cambios relacionados con el
personal.

DOCENTE: ING. PAULA A. SANCHEZ R.

¿CÓMO SE REDACTAN LAS OPORTUNIDADES DE MEJORA?
 ANALICEMOS LA
SIGUIENTE SITUACIÓN
• Durante la auditoría al proceso de
operaciones se procede a verificar el
control de inventarios de los sellos de
seguridad empleados en la operación,
se observa que los mismos se
encuentran debidamente inventariados
y se custodian de manera segura. El
control de inventarios se ejecuta de
manera manual en formato OPR-F-005
Control de Precintos; sin embargo,
durante la auditoría se observó que la
organización cuenta con Sistema SAP el
cual le permite automatizar el control
de los precintos.

DOCENTE: ING. PAULA A. SANCHEZ R.

Comparemos la evidencia con el Requisito…

2.6 Sellos de seguridad

La empresa debe:

g) Verificar el inventario de sellos de acuerdo con las operaciones de la empresa.

BASC Bogotá - Colombia

[Link]
 COMPONENTES DE LA
OPORTUNIDAD DE
MEJORA

Aspecto identificado

Cómo se puede transformar.

Impacto positivo (¿Cómo puede

aportar a la mejora?)
Requisito

DOCENTE: ING. PAULA A. SANCHEZ R.

 OPORTUNIDAD DE MEJORA

Estándar 2.6 literal G

La organización desarrolla el control de
inventario de sus precintos a través de registro
OPR-F-005 Control de Precintos, sin embargo;
al observar las herramientas con las que
cuenta la organización se identifica sistema
SAP que permite la automatización de este
control facilitando su gestión y disminuyendo
el riesgo de perdida de trazabilidad de los
mismos.

BASC Bogotá - Colombia

DOCENTE: ING. PAULA A. SANCHEZ R. [Link]
 ANALICEMOS LA
SIGUIENTE SITUACIÓN

Durante la auditoria al proceso de sistemas de

gestion pudimos observar que la organización
controla los documentos obsoletos a través de
archivo en excel, este se encuentra
adecuadamente implementado y conforme a la
muestra de auditoria; sin embargo, al verificar las
herramientas con las que cuenta la empresa
pudimos evidenciar que tienen un software de
gestion documental con el que conservan los
registros de la operación.

DOCENTE: ING. PAULA A. SANCHEZ R.

 OPORTUNIDAD DE MEJORA

Norma 7.2.3
La organización desarrolla el control de
documentos obsoletos a través de un
archivo en Excel, sin embargo; al observar
las herramientas con las que cuenta la
organización se identifica software de
gestión documental que permite la
automatización de este control facilitando
su gestión y disminuyendo el riesgo de
perdida de trazabilidad de los mismos.

DOCENTE: ING. PAULA A. SANCHEZ R.

¿CÓMO SE REDACTAN LAS OBSERVACIONES?
 ANALICEMOS LA
SIGUIENTE SITUACIÓN

Durante la auditoría al proceso

administrativo el 4 de julio de 2022, se
procede a verificar el cumplimiento frente al
requisito 4.1.1 selección del personal, en
donde indica que la empresa debe verificar
y analizar en el proceso de selección los
antecedentes de los candidatos que
ocuparán cargos críticos. Sin embargo; al
verificar la hoja de vida del cargo Auxiliar de
Exportaciones el cual se encuentra
catalogado como cargo crítico, se observa
que este fue contratado el 20 de junio de
2022 y al verificar sus antecedentes la
consulta se hizo el 19 de junio de 2022 a las
16:00 horas.

DOCENTE: ING. PAULA A. SANCHEZ R.

Comparemos la evidencia con el Requisito…

4.1.1 Selección del personal

La empresa debe verificar y analizar en el proceso de selección:

c) Antecedentes de los candidatos que ocuparán cargos críticos.

BASC Bogotá - Colombia

[Link]
 COMPONENTES DE LA
OBSERVACIÓN

Aspecto identificado

Factor de riesgo.

Impacto negativo sobre el sistema.

Requisito

DOCENTE: ING. PAULA A. SANCHEZ R.

 OBSERVACIÓN

Estándar 4.1.1 literal C

Se observa contratación de cargo critico el
20 de junio de 2022 con consulta de
antecedentes del 19 de junio de 2022 a las
16:00 horas. Corriendo el riesgo que el
resultado no sea tenido en cuenta como
factor de selección permitiendo la
contratación de personal con antecedentes
que impactan la seguridad de la cadena de
suministro.

DOCENTE: ING. PAULA A. SANCHEZ R.

 Requisitos

Evidencia Objetiva

HALLAZGO

RECORDEMOS…
Ing. Paula A. Sanchez R
GRACIAS
[Link]