P-01 AUDITORIAS INTERNAS - Grupo Oca
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
P-01 AUDITORIAS INTERNAS
Toda la información recogida en el presente documento tiene carácter confidencial, comprometiéndose el receptor a impedir su
divulgación a terceros, limitándose al uso formal de esta publicación. El receptor reconoce que la divulgación de este documento, en todo o en
parte, puede causar pérdidas sustanciales al GRUPO OCA. El receptor del presente documento se compromete a no copiarlo ni reproducirlo, por
si mismo o por terceras personas, cualquiera que sea el medio o fin a que se destine, sin obtener previamente un permiso escrito del GRUPO
OCA.AUDITORÍAS P-01
INTERNAS Ed.08
1. OBJETO
Describir la sistemática establecida para la realización de auditorías internas con la
finalidad de verificar la implantación y eficacia del SIG del GRUPO OCA o, en caso
contrario, detectar las desviaciones y establecer acciones correctivas para
eliminarlas.
2. ÁMBITO DE APLICACIÓN
Todas aquellas actividades contempladas en el SIG del GRUPO OCA.
3. ENTRADAS
Norma UNE-EN ISO 9001
Norma UNE-EN ISO 14001
Norma ISO 14064-1
Norma UNE-EN ISO 45001
Norma UNE ISO/IEC 27001
Norma UNE 19601
Reglamentos EMAS
Documentación del SIG
Alcance del SIG.
4. DESARROLLO
4.1. PLANIFICACIÓN DE LA AUDITORÍA
Al principio de cada año, el RSIG efectúa la planificación de las auditorías internas.
Todos los departamentos de la empresa serán auditados como mínimo una vez al
año.
El RSIG podrá planificar un incremento en la periodicidad y cobertura de las
auditorías internas, en función de la magnitud de los niveles de grado de riesgo
para la seguridad y salud en el trabajo y la seguridad de la información, obtenidos
en la evaluación de riesgos, o en función de la naturaleza y magnitud de los
aspectos ambientales identificados o en función del nivel de riesgos penales
identificados o de indicios de materialización de riesgos penales o no
conformidades o incumplimientos relacionadas con la política de compliance penal
o el sistema de gestión de compliance penal.
El Plan Anual de Auditorías Internas es elaborado por el RSIG y presentado a la
Dirección para su aprobación y posterior distribución a los distintos centros para su
información. Además de las auditorías incluidas en el plan anual, el RSIG podrá
proponer la realización de auditorías extraordinarias cuando:
• Se hayan introducido modificaciones significativas en el SIG o en las actividades bajo su
amparo.
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 2|8AUDITORÍAS P-01
INTERNAS Ed.08
• Se sospeche o se tenga la certeza de que el nivel de Calidad, Medio Ambiente, de
Seguridad y Salud en el Trabajo y/o de Seguridad de la Información y/o de compliance
penal ha disminuido o está comprometido.
• Se deba verificar la implantación de acciones correctivas.
• La materialización de riesgos penales.
• Se hayan producido innovaciones en relación a las personas, medios, documentación, etc.
4.2. EQUIPO AUDITOR
La auditoría la realizará personal cualificado para ello, que no podrá tener
responsabilidad directa sobre el departamento / centro auditado.
Los auditores internos deberán tener la formación y experiencia adecuada,
cumpliendo como mínimo los siguientes requisitos:
a. con relación a calidad y/o gestión ambiental:
• Conocimiento de las normas ISO 9001, ISO 14001, ISO 14064-1 y reglamento EMAS,
adquirido por medio de formación (curso / seminario de al menos 8 horas de duración en cada
materia)
• Experiencia mínima en la empresa de 1 año.
• Haber participado como observador en al menos una auditoría interna de Calidad y Ambiental
(incluyendo reglamento EMAS)
• Conocimiento del Sistema Integrado de Gestión del GRUPO OCA
b. en relación a seguridad y salud en el trabajo
• Conocimiento de la norma ISO 45001, adquirido por medio de formación (curso / seminario
de al menos 8 horas de duración).
• Cualificación necesaria de, al menos, Formación Básica en Prevención de Riesgos Laborales
(50 horas)
• Experiencia mínima en la empresa de 1 año.
• Haber participado como observador en al menos una auditoría interna de Seguridad y Salud
en el Trabajo.
• Conocimiento del Sistema Integrado de Gestión del GRUPO OCA.
c. en relación con seguridad de la información:
• conocimiento de la norma UNE-ISO/IEC 27001, adquirido por medio de formación (curso /
seminario de al menos 8 horas de duración).
• experiencia mínima en la empresa de 1 año.
d. en relación con Compliance penal:
• conocimiento de la norma UNE 19601, adquirido por medio de formación (curso / seminario
de al menos 8 horas de duración).
• experiencia mínima en la empresa de 1 año.
Se podrá contratar la realización de auditorías internas a empresas externas
especializadas, siendo en este los requisitos de cualificación del personal de dichas
empresas los siguientes:
• Licenciado, diplomado o equivalentes.
• Formación en Sistemas de Gestión de la Calidad, Ambientales (incluyendo reglamento
EMAS), la Seguridad y Salud en el Trabajo, de Compliance Penal y de Seguridad de la
Información (según la norma / estándar a auditar). Formación mínima de 40 horas de
duración en cada especialidad.
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 3|8AUDITORÍAS P-01
INTERNAS Ed.08
• Experiencia mínima de dos años en el diseño e implantación de Sistemas de Gestión (*) (6
meses para seguridad de la información y compliance).
• Experiencia mínima de dos años en la realización de Auditorías de Sistemas de Gestión (*) (6
meses para seguridad de la información y compliance).
De la misma manera, se podrá utilizar la figura del experto técnico para cualquiera de las normas,
para lo que se requerirá cualificación derivada de formación académica (abogado, Ingeniero
Telecomunicaciones, Informático,) o experiencia en su profesión de más de 2 años.
El RSIG acredita la calificación de los auditores verificando el cumplimiento de los
requisitos anteriormente indicados.
4.3. PREPARACIÓN DE LA AUDITORÍA
Con anterioridad a la auditoría el equipo auditor realizará las actividades
preparatorias, en las que tratará de concretar:
a) La información disponible sobre:
• Documentación del SIG (manual, procedimientos, instrucciones, etc.).
• Quejas y reclamaciones de clientes.
• Registros de no conformidades.
• Informes de auditorías anteriores.
• Partes de acciones correctivas y preventivas afectadas.
• Comunicaciones externas.
• Resultados de la identificación de peligros, y de evaluación y control de los riesgos.
• Resultados de la identificación de activos, y de evaluación y control de los riesgos de seguridad
de la información.
• Informe de Incidentes (incluso Accidentes).
• Informes de Verificación del Sistema.
• Norma UNE-EN ISO 9001.
• Norma UNE-EN ISO 14001.
• Reglamento nº 1221/2009 para adhesión con carácter voluntario a un sistema comunitario
de gestión y auditoria medioambientales (EMAS) y modificaciones posteriores.
• Norma UNE-EN ISO 45001.
• Norma UNE-ISO/IEC 27001.
• Norma UNE 19601.
• Norma ISO 14064-1.
b) Aspectos que se consideren más importantes para su comprobación en la
auditoría
c) Acordar la fecha definitiva de la auditoría y notificarlo con la suficiente
antelación a los departamentos y/o centros implicados.
4.4. REALIZACIÓN DE LA AUDITORÍA
El auditor documentará en sus anotaciones personales la identificación de los
puntos comprobados (identificación del trabajo, personal, documento, etc.) con el
fin de facilitar el estudio posterior de conclusiones. Las verificaciones a efectuar
durante la auditoria serán, en general, de la siguiente naturaleza:
• revisión de los documentos del SIG aplicables, para comprobar que el departamento / centro
auditado dispone de los documentos de trabajo que le son aplicables, así como que la emisión y
control de los mismos es el adecuado.
• examen de los registros y evidencias documentales que demuestren el cumplimiento de las
disposiciones del SIG
• supervisión directa de procesos, para comprobar que las actividades encomendadas al
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 4|8AUDITORÍAS P-01
INTERNAS Ed.08
departamento / centro auditado se desarrollan de la manera prevista en la documentación del
SIG.
En el desarrollo de la auditoria, el equipo auditor tendrá siempre en cuenta que:
• la investigación no tiene por qué limitarse a los puntos incluidos, en su caso, en la lista de
comprobación.
• se evaluarán sólo evidencias objetivas y contrastadas.
• en caso de detectarse una posible deficiencia se investigará hasta confirmarla o no y averiguar
si es fortuita o sistemática.
• se debe hacer un seguimiento exhaustivo de las desviaciones detectadas en anteriores
auditorias.
Si se detectasen desviaciones en el transcurso de la auditoría, se analizarían
conjuntamente con el responsable del departamento o centro afectado, para tratar
de averiguar:
a. Las causas que producen la desviación, y los efectos o incidencias sobre la Calidad, el Medio
Ambiente, la Seguridad y Salud en el Trabajo, el compliance penal y la Seguridad de la
Información de los trabajos.
b. Si la desviación es fortuita o continua y sistemática.
c. Si la desviación se debe a falta de instrucciones, o a defectos de algún documento del SIG
Las desviaciones detectadas estarán documentadas de forma precisa y concisa y
se basarán en datos objetivos y no en impresiones subjetivas del auditor.
4.5. REUNIÓN FINAL
Al término de la auditoría, el auditor se reunirá con el RSIG, así como con el
Responsable del Departamento auditado, con el fin de presentar los hallazgos de
la auditoría de tal modo que se asegure que se entienden claramente los
resultados de la auditoría y que son aceptados. El auditor hará una breve
descripción de las desviaciones detectadas y las conclusiones obtenidas en cuanto
a su origen y efectos sobre la Calidad, el Medio Ambiente, la Seguridad y Salud en
el Trabajo, la Seguridad de la Información y el compliance penal.
4.6. INFORME DE AUDITORÍA
Concluida la auditoría, el equipo auditor elaborará el Informe de Auditoría, que
contendrá como mínimo los siguientes apartados:
a. Fecha de la auditoría.
b. Departamento auditado.
c. Equipo auditor.
d. Observadores, en el caso de que los hubiese.
e. Puntos comprobados (referencia a cuestionario, a puntos de la normativa o especificaciones de
aplicación, documentación de referencia, etc.)
f. Desviaciones detectadas, indicando con un nº correlativo dicha desviación, el punto de la norma o
especificación a la que hace referencia, y describiéndola en forma precisa. Se indicará, si es
posible, las evidencias contrastadas.
g. Puntos fuertes y débiles del Sistema.
h. Firma auditor/es.
i. Evidencias sobre el estado de los controles auditados (pruebas de cumplimiento)(Informe
auditoria 27001).
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 5|8AUDITORÍAS P-01
INTERNAS Ed.08
El Jefe del equipo auditor recaba la firma en el Informe de Auditoría del
Responsable del Departamento auditado y le entrega copia del mismo. El original
lo remite al RSIG, para su conocimiento y archivo.
A su vez el RSIG pone a disposición del Gerente el archivo de los Informes de
Auditoría, para que los utilice en la revisión del Sistema.
4.7. TRATAMIENTO DE LAS DESVIACIONES
Por cada desviación o problema detectado, puestos en evidencia al realizar la
auditoría, se actuará de acuerdo con lo establecido en el procedimiento P-02 “No
conformidades, Accidentes e Incidentes y Acciones Correctivas”.
5. CONTROL DE CAMBIOS Y MODIFICACIONES
FECHA EDICIÓN NATURALEZA DEL CAMBIO
01/05/2007 00 PRIMER EJEMPLAR
01/01/2009 01 SE ELIMINA LA CODIFICACIÓN DE LOS FORMATOS
ADAPTACIÓN 9001:2008 Y ESTÁNDAR OHSAS 18001:2007.
01/03/2009 02
INCLUSIÓN EMPRESAS GRUPO
30/06/2009 03 IMPLANTACIÓN UNE-ISO/IEC 27001:2007
16/09/2010 04 INCLUSIÓN EVIDENCIAS REVISIÓN CONTROLES 27001
30/05/2017 05 ADAPTACIÓN NORMAS 9001-14001:2015
19/12/2019 06 INCLUSIÓN NORMAS 45001 Y 19601
12/11/2019 07 INCLUSIÓN EXPERTO TÉCNICO
30/03/2021 08 INTEGRACIÓN HUELLA DE CARBONO
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 6|8AUDITORÍAS P-01
INTERNAS Ed.08
6. DIAGRAMA DE FLUJO
Auditorías internas
INICIO
Elaborar Plan Anual de Auditorías Internas
Plan Anual de Auditorías Internas
Aprobar Plan Anual de Auditorías Internas
Distribuir Plan Anual entre los centros
Designación del Equipo Auditor
(verificación previa de su capacidad)
Registro Calificación de Auditores
Preparación de la auditoría.
Definición de fecha exacta y comunicación
a los departamentos y centros implicados
Realizar auditoría. Al finalizar la misma,
comunicar al auditado las deficiencias
detectadas en una reunión final
Elaborar Informe de Auditoría
Informe de Auditoría
Revisar, aprobar y archivar
Informe de Auditoría
Tratamiento de las desviaciones detectadas
P-02
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 7|8AUDITORÍAS P-01
INTERNAS Ed.08
7. SALIDAS
Anexo 1: "Programa de Auditorías Internas".
Anexo 2: "Informe de Auditoría
Plan de Auditoría Interna
Informe de Auditoría Interna
CV Auditor Interno
Plan de Auditoría Externa
Informe de Auditoría Externa
Este documento es propiedad de GRUPOOCA Una vez impreso se considerará copia no controlada. Las copias
controladas se encuentran colgadas en la Intranet P á g i n a 8|8También puede leer
