Tipo y Alcance de la Auditoría.



  • Tipos de auditorías
Imagen relacionada






Centrándonos en el ámbito de la Gestión de la Calidad, y en función de la relación existente entre el auditor y la persona auditada, podemos diferenciar tres tipos de auditorias principales
  • Auditoría de terceros
  • Auditorías de segunda parte.
  • Auditorías de primera parte.
Vamos a tratar de explicar breve mente en qué consiste cada una de estas categorías así como describir a su vez los tipos de auditorias que se incluyen en cada una de las mismas.


Auditorias de terceros


Resultado de imagen para auditoriasEste tipo de auditoría se da cuando una organización contrata a una empresa externa e independiente que lleve las tareas de realización de una auditoría para certificar que el Sistema de Gestión de la Calidad que la organización ha decidido implantar cumple con los requisitos de la norma en cuestión tomada como referente, como por ejemplo, podría ser la norma ISO 9001 – que cuenta con la mayor implementación a nivel global-.

Para ser más concretos, las empresas externas que se dedican profesionalmente a realizar auditorías de los SGC se llaman Organismos de certificación o registradores, los cuales, una vez realizado su trabajo, otorgan a la organización auditada una certificación.

Dicho documento sirve de garantía a la organización frente a sus clientes, dado que con ello está demostrando contar con un Sistema de Gestión de la Calidad que cumple con los requisitos necesarios.

A su vez, dentro de esta categoría de auditorías de terceros, podemos distinguir tres tipos de auditorías a realizar :
  • Auditoría de certificación.
  • Mantenimiento de las auditorías.
  • Auditorías de recertificación.
Auditorías de segunda parte

Resultado de imagen para auditoriasHablaremos de este tipo de auditorias, en aquellos casos en los que una organización tiene el fin de garantizar que sus proveedores cumplen con los requisitos recogidos en el contrato. Es decir, aquí la relación es entre el cliente y el proveedor.

Tales auditorías podrán ser realizadas en el mismo sitio donde trabaje el proveedor auditado, en caso de auditar alguno de sus procesos, o bien puede ser realizada fuera de sus instalaciones, en caso de que lo que se revise sea cierta documentación requerida al proveedor en cuestión. Este tipo de auditoría no debe confundirse con aquellas que otorgan una certificación.

Es más, una organización puede estar certificada por un organismo de certificación (auditorías de terceros) y al mismo tiempo que alguno de sus cliente decide aplicarle una auditoría de segunda parte para inspeccionar algunos aspectos del contrato.

Auditorías de primera parte

Resultado de imagen para auditoriasEstas auditorias son también conocidas como auditorias internas. Éstas las realiza personal de la propia organización auditando uno o varios procesos de su Sistema de Gestión y verificando que cumple los requisitos establecidos por la misma.

La auditoria interna centra la atención en la búsqueda de áreas que generen problemas, así como aquellas en las que no hay alineación entre los procesos con el fin de detectar oportunidades de mejora y lograr la mejora de la eficacia del Sistema de Gestión ISO.


  • Alcance de una auditoria

Resultado de imagen para auditoriasEl alcance de una auditoría nos especifica qué actividades concretas de la empresa serán auditadas. El alcance puede definirse por áreas de trabajo, procesos, actividades, requisitos del sistema.

Tener identificado el alcance de la auditoria es un requisito fundamental para poder especificar el detalle al que se va a entrar en la misma. Al definir el alcance de una auditoria se deberá tener en cuenta el tipo de instalación que se pretende auditar, los elementos de la misma que se van a estudiar y la profundidad con que se debe realizar la auditoria. 

Aunque puede darse el caso de que existan matices que hagan una auditoría muy específica, la mayoría de las veces se puede distinguir entre dos:
  • Una auditoría contra la norma que evalúa el sistema de gestión de seguridad alimentaria (en este caso, el APPCC) 
  •  La auditoría a determinadas instalaciones de la empresa. En cualquier caso, el alcance de cada auditoría debe quedar claramente definido, determinándose de manera explícita.



Alcance de la Auditoría:

Asesorar a la gerencia con el propósito de 

  1. Delegar efectivamente las funciones.
  2.  Mantener adecuado control sobre la organización. 
  3. Reducir a niveles mínimos el riesgo inherente. 
  4. Revisar y evaluar cualquier fase de la actividad de la organización, contable, financiero, administrativo, operativo.


Comentarios

Publicar un comentario

Entradas más populares de este blog

Metodología PTES (Penetration Testing Execution Standard).

Imagen
PTES PTES (Penetration Testing Execution Standart) consta de siete (7) secciones principales. Pretende unir esfuerzos de analistas y expertos en seguridad para hacer un estándar que pueda completar una auditoría en todos sus procesos más habituales. Estos cubren todo lo relacionado con una prueba de penetración: Herramientas requeridas Son esos programas, aplicaciones o simplemente instrucciones usadas para efectuar otras tareas de modo más sencillo. En un sentido amplio del término, podemos decir que una herramienta es cualquier programa o instrucción que facilita una tarea, pero también podríamos hablar del hardware o accesorios como herramientas. Recolección de información Recopilación de información de inteligencia competitiva publicada en motores de búsqueda que nos dará una idea del objetivo que estamos estudiando y de las personas que trabajan dentro dela empresa.. Análisis de vulnerabilidades Como su propio nombre ind
Leer más

Auditoría tipo Black box, White box y Gray box.

Imagen
Básicamente existen tres tipos de auditorías a realizar para un testing de penetración  cuando llega a una empresa para comprobar la seguridad de su infraestructura, de su sitio web, software o mapa de red, son conocidas por tres nombres comunes: Auditoría de “Caja blanca”: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado. Es útil porque no se invierte tiempo en el “fingerprint” (descubrimiento) de la infraestructura, sistemas utilizados, etc. Auditoría de “Caja negra”: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los s
Leer más

Herramientas (LanGuard, Nessus, OpenVAS, NeXpose, McAfee Vulnerability Manager)

Imagen
LanGuard: Es una galardonada solución de escáner de red y de seguridad, que le permite analizar su red y puertos para detectar, evaluar y corregir vulnerabilidades de seguridad con el mínimo esfuerzo administrativo, ofreciendo: Administración de actualizaciones. Evaluación de vulnerabilidad. Auditoría de red. Principales características: Administración de actualizaciones para sistemas operativos y aplicaciones Microsoft® y Max OS X. Implementa software a medida y de terceros y actualizaciones en toda la red. Administración de actualizaciones para otras aplicaciones (no Microsoft). Corrección automática de aplicaciones no autorizadas. Conexión a escritorio remoto. Nessus: Nessus es un programa de escaneo de vulnerabilidades en diversos sistemas operativos. Consiste en un demonio o diablo, nessusd, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance e informa sobre el estado de los escaneos. De
Leer más