evaluaciones de sistemas de administración de la seguridad smsa

Evaluaciones de Sistemas Evaluaciones de Sistemas de Administración de la de Administración de la

Seguridad SMSASeguridad SMSA

22

Evaluaciones de Sistemas de Evaluaciones de Sistemas de Administración de la Seguridad Administración de la Seguridad

Propósito Propósito

EEs usada para determinar el cumplimiento con los s usada para determinar el cumplimiento con los Requerimientos de Sistemas de Administración de la Requerimientos de Sistemas de Administración de la Seguridad Seguridad que apliquen a una organización. El uso que apliquen a una organización. El uso apropiado promoverá consistencia entre las actividades apropiado promoverá consistencia entre las actividades y el personal que determina y evalúa el cumplimiento y el personal que determina y evalúa el cumplimiento de dicho sistema.de dicho sistema.

33

Evaluaciones de Sistemas de Evaluaciones de Sistemas de Administración de la SeguridadAdministración de la Seguridad

AplicaciónAplicación

La La Evaluación SMSA Evaluación SMSA puede ser usada o aplicada en puede ser usada o aplicada en diferentes formas y de acuerdo a las necesidades diferentes formas y de acuerdo a las necesidades de los clientes y proveedoresde los clientes y proveedores

- Por un proveedor, como una auto- evaluación de su Por un proveedor, como una auto- evaluación de su propio Sistema propio Sistema

- Por un cliente para evaluar las operaciones de un Por un cliente para evaluar las operaciones de un proveedor proveedor

- Por un cliente para auditar a algún proveedor Por un cliente para auditar a algún proveedor potencial, previo a algún acuerdo o al potencial, previo a algún acuerdo o al otorgamiento de un contrato otorgamiento de un contrato

44

Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad

Perspectiva Perspectiva

El proceso de evaluación es usado para determinar si el El proceso de evaluación es usado para determinar si el Sistema de un proveedor cumple con los requerimientos Sistema de un proveedor cumple con los requerimientos de seguridad propios y/o legales/gubernamentales.de seguridad propios y/o legales/gubernamentales.

PerspectivaPerspectivaPerspectivaPerspectiva

55


Métodos Alternativos para Verificar el Cumplimiento Métodos Alternativos para Verificar el Cumplimiento de los Proveedoresde los Proveedores

- Evaluaciones por segundas partes (de los clientes)- Evaluaciones por segundas partes (de los clientes)- Hacer referencia al documento Hacer referencia al documento SMSASMSA..

- Evaluaciones y registros/certificaciones por terceras Evaluaciones y registros/certificaciones por terceras partes.partes.

66


Proceso de Decisión Por el ClienteProceso de Decisión Por el Cliente

El cliente puede solicitar al proveedor en cuestión uno o El cliente puede solicitar al proveedor en cuestión uno o más de los siguientes puntos, de a cuerudo con los más de los siguientes puntos, de a cuerudo con los requerimientos del cliente mismo:requerimientos del cliente mismo:

- El manual de administración de seguridad del proveedorEl manual de administración de seguridad del proveedor- Procedimientos de soporteProcedimientos de soporte- Auto- evaluaciones (Auto- evaluaciones (SMSASMSA))- Resultados de auditorías de seguridad internasResultados de auditorías de seguridad internas

77


Método de Evaluación Método de Evaluación

Se forma de tres fases o etapas principales:Se forma de tres fases o etapas principales:

1.1. Revisiones de la documentación del sistema de Revisiones de la documentación del sistema de administración de seguridad (SAS)administración de seguridad (SAS)

2.2. Auditorias de plantaAuditorias de planta

3.3. Análisis y reportesAnálisis y reportes

88


Alternativas del resumen de la auditoria Alternativas del resumen de la auditoria

El cliente determina cual de las dos alternativas El cliente determina cual de las dos alternativas será usada para contabilizar los hallazgos de la será usada para contabilizar los hallazgos de la auditoría:auditoría:

- Aceptado/RechazadoAceptado/Rechazado- Puntaje/Score VariablePuntaje/Score Variable

Estos Estos elementos puede ser clasificadoelementos puede ser clasificadoss en una de las en una de las dos siguientes formasdos siguientes formas::

- Como el status de "Como el status de "Cumple/No Conformidad Cumple/No Conformidad Menor/No Conformidad MayorMenor/No Conformidad Mayor““

- Como un puntaje de Como un puntaje de 00 a a 33 para cada elemento para cada elemento

99


Definiciones Definiciones

No conformidad mayor.- No conformidad mayor.- Ausencia o falta total Ausencia o falta total de un sistema, para cumplir algún de un sistema, para cumplir algún requerimiento requerimiento

No conformidad menor.- No conformidad menor.- un incumplimiento un incumplimiento que no sea muy probable el resultado de un que no sea muy probable el resultado de un riesgo riesgo

Cumple.- Cumple.- No se identifican no conformidades No se identifican no conformidades menores ni mayores en la auditoriamenores ni mayores en la auditoria

Adecuacidad.- Adecuacidad.- La documentación especifica del La documentación especifica del proveedor cumple con las intenciones del proveedor cumple con las intenciones del sistema. sistema.

1010


Proceso de Evaluación por los Clientes UsandoProceso de Evaluación por los Clientes Usando el Método Aceptado/el Método Aceptado/RRechazadoechazado

Se otorgará una evaluación global deSe otorgará una evaluación global de::

1.1. Aceptado.-Aceptado.-" " cuando en la auditoría no se cuando en la auditoría no se identifique ninguna No Conformidad mayor o identifique ninguna No Conformidad mayor o menormenor

2.2. Abierto.- Abierto.- cuando exista una No Conformidad cuando exista una No Conformidad mayor y/o varias No Conformidades menoresmayor y/o varias No Conformidades menores

3.3. RechazadoRechazado.- .- cuando en la auditoría se cuando en la auditoría se identifiquen una o más No Conformidades identifiquen una o más No Conformidades mayoresmayores

1111

Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la Seguridad Administración de la Seguridad

Proceso de Evaluación por los Clientes Usando el Proceso de Evaluación por los Clientes Usando el Método de Puntaje/ Score Variable:Método de Puntaje/ Score Variable:

Para cada elemento el resultado de cada pregunta se Para cada elemento el resultado de cada pregunta se marca en la columna del lado derecho como sigue:marca en la columna del lado derecho como sigue:

XX NNo, éste requerimiento no se cumple, o, éste requerimiento no se cumple,

++ Sí, éste requerimiento se cumple, aunque hay Sí, éste requerimiento se cumple, aunque hay inconsistencias menores por resolverse.inconsistencias menores por resolverse.

++ ++ Sí, éste requerimiento se cumple y está Sí, éste requerimiento se cumple y está implementado de manera efectiva.implementado de manera efectiva.

++++++ Sí, éste requerimiento se cumple, está Sí, éste requerimiento se cumple, está implementado de manera efectiva y se muestran implementado de manera efectiva y se muestran mejoras mejoras en los últimos 12 mesesen los últimos 12 meses..

1212


PPuntaje/untaje/SScore core PPara ara CCada ada EElementolemento

0 0 Una (ó más) pregunta(s) con un resultado de Una (ó más) pregunta(s) con un resultado de XX ó 4 ó más ó 4 ó más preguntas con un resultado de preguntas con un resultado de ++..

1 1 Una a tres preguntas con un resultado de Una a tres preguntas con un resultado de ++..

2 2 No hay ningún resultado de No hay ningún resultado de X X ó ó ++..

3 3 No hay ningún resultado de No hay ningún resultado de X X ó ó ++, ,

1313


Puntaje/Puntaje/SScore core FFinalinal

El puntaje final es calculado dividiendo el total del puntaje El puntaje final es calculado dividiendo el total del puntaje de todos los elementos por el número de elementos con de todos los elementos por el número de elementos con respuesta (o que apliquen), y luego se multiplica por respuesta (o que apliquen), y luego se multiplica por 5050..

En apoyo al mejoramiento continuo, los En apoyo al mejoramiento continuo, los auditores/evaluadores de seguridad debieran identificar auditores/evaluadores de seguridad debieran identificar fuerzas y debilidades del sistema de administración fuerzas y debilidades del sistema de administración ambiental y sugerencias y recomendaciones para ambiental y sugerencias y recomendaciones para mejoras.mejoras.

1414


Reportes de Hallazgos de las EvaluacionesReportes de Hallazgos de las Evaluaciones

Las notas y observaciones debieran contener sugerencias Las notas y observaciones debieran contener sugerencias y recomendaciones específicas para acciones y recomendaciones específicas para acciones correctivas.correctivas.

Debieran incorporarse fechas objetivo de terminación de Debieran incorporarse fechas objetivo de terminación de las acciones correctivas, en los espacios apropiados las acciones correctivas, en los espacios apropiados para No Conformidades mayores o menores, en el para No Conformidades mayores o menores, en el formato del Reporte de Resumen de la Evaluación formato del Reporte de Resumen de la Evaluación SMSASMSA..

CCuando se demuestre el cumplimiento con el sistema,uando se demuestre el cumplimiento con el sistema, pero existan oportunidades de mejoramiento continuo pero existan oportunidades de mejoramiento continuo evidentes, éstas debieran identificarseevidentes, éstas debieran identificarse..

1515


Uso de los Puntajes/ Scores para la Toma de Uso de los Puntajes/ Scores para la Toma de Decisiones en las ComprasDecisiones en las Compras

Independientemente del método de puntaje/ score usado Independientemente del método de puntaje/ score usado (aceptado/ rechazado o puntaje/score variable), el área (aceptado/ rechazado o puntaje/score variable), el área de compras de cada cliente establecerá sus propias de compras de cada cliente establecerá sus propias políticas, en relación al uso y aplicación de los resultados políticas, en relación al uso y aplicación de los resultados de la evaluación, para tomar decisiones en cuanto al uso de la evaluación, para tomar decisiones en cuanto al uso de recursosde recursos..

1616

Proceso de Evaluaciones de Proceso de Evaluaciones de Segundas PartesSegundas Partes

1. 1. El Proveedor ofrece al Cliente los Materiales El Proveedor ofrece al Cliente los Materiales SolicitadosSolicitados

El manual debe estar organizado de forma tal que El manual debe estar organizado de forma tal que corresponda con la organización de los tópicos o temas corresponda con la organización de los tópicos o temas del sistema. También, al proveedor se le solicita, del sistema. También, al proveedor se le solicita, normalmente, que entregue:normalmente, que entregue:

- Auto- evaluaciones Auto- evaluaciones - Planes, si existen algunos, Planes, si existen algunos, - Auditorías, si existen algunas, Auditorías, si existen algunas,

1717

Proceso de Evaluaciones de Segundas Proceso de Evaluaciones de Segundas PartesPartes

2.2. Revisión de la DocumentaciónRevisión de la Documentación

El cliente revisa los materiales ofrecidos por El cliente revisa los materiales ofrecidos por el proveedor, para evaluar su el proveedor, para evaluar su adecuacidad en el cumplimiento con el adecuacidad en el cumplimiento con el sistema. sistema.

3.3. ¿La Documentación está OK?¿La Documentación está OK?

El cliente recomienda al proveedor El cliente recomienda al proveedor ciertas revisiones que se requieran ciertas revisiones que se requieran en la documentación del sistema de en la documentación del sistema de administración de la seguridad. administración de la seguridad.

1818


4. 4. El Proveedor Realiza las Revisiones NecesariasEl Proveedor Realiza las Revisiones Necesarias

El proveedor revisa la documentación de su El proveedor revisa la documentación de su SASSAS conforme conforme sea necesariosea necesario..

5. El Cliente Prepara la Lista de5. El Cliente Prepara la Lista de Verificación de la Verificación de la AuditoríaAuditoría

La lista de verificación para la auditoría en planta se La lista de verificación para la auditoría en planta se integra de la Evaluación integra de la Evaluación SMSASMSA, además de preguntas , además de preguntas adicionalesadicionales..

1919


6. El Cliente Conduce la Auditoria en 6. El Cliente Conduce la Auditoria en PlantaPlanta

El cliente usa y aplica la lista de El cliente usa y aplica la lista de verificación para evaluar las operaciones verificación para evaluar las operaciones del proveedor. Esta auditoria es del proveedor. Esta auditoria es conducida en la planta o áreas de conducida en la planta o áreas de manufactura. Si se cuenta con manufactura. Si se cuenta con operaciones o procesos múltiples dentro operaciones o procesos múltiples dentro de una misma planta, el cliente puede de una misma planta, el cliente puede auditar éstos en forma aleatoria. auditar éstos en forma aleatoria.

2020


7. El Cliente Identifica las No Conformidades.7. El Cliente Identifica las No Conformidades.

Todas las No Conformidades identificadas deben incluirse Todas las No Conformidades identificadas deben incluirse en el reporte resumen. en el reporte resumen.

8. El Proveedor Elimina las No Conformidades 8. El Proveedor Elimina las No Conformidades

Si el proveedor puede eliminar o corregir las No Si el proveedor puede eliminar o corregir las No Conformidades menores durante el curso de la auditoría, Conformidades menores durante el curso de la auditoría, tales correcciones también deben incluirse y anotarse en tales correcciones también deben incluirse y anotarse en el reporte.el reporte.

2121


9. Verificación por el Cliente.9. Verificación por el Cliente.

EEl cliente verificará la efectividad de las acciones l cliente verificará la efectividad de las acciones correctivas, en planta y/o vía revisión de la correctivas, en planta y/o vía revisión de la documentación documentación

10. El Cliente Informa al Proveedor del Status ó 10. El Cliente Informa al Proveedor del Status ó Resultado Final de la AuditoríaResultado Final de la Auditoría

El cliente ofrece al proveedor el status final de la auditoría El cliente ofrece al proveedor el status final de la auditoría (ej., aceptado/rechazado).(ej., aceptado/rechazado).

Final de la PresentaciónFinal de la Presentación

¿Preguntas?¿Preguntas?

evaluaciones de sistemas de administración de la seguridad smsa

Documents