Evaluaciones de Sistemas de Administración de la Seguridad SMSA.
-
Upload
virgilio-posadas -
Category
Documents
-
view
5 -
download
0
Transcript of Evaluaciones de Sistemas de Administración de la Seguridad SMSA.
Evaluaciones de Sistemas Evaluaciones de Sistemas de Administración de la de Administración de la
Seguridad SMSASeguridad SMSA
22
Evaluaciones de Sistemas de Evaluaciones de Sistemas de Administración de la Seguridad Administración de la Seguridad
Propósito Propósito
EEs usada para determinar el cumplimiento con los s usada para determinar el cumplimiento con los Requerimientos de Sistemas de Administración de la Requerimientos de Sistemas de Administración de la Seguridad Seguridad que apliquen a una organización. El uso que apliquen a una organización. El uso apropiado promoverá consistencia entre las actividades apropiado promoverá consistencia entre las actividades y el personal que determina y evalúa el cumplimiento y el personal que determina y evalúa el cumplimiento de dicho sistema.de dicho sistema.
33
Evaluaciones de Sistemas de Evaluaciones de Sistemas de Administración de la SeguridadAdministración de la Seguridad
AplicaciónAplicación
La La Evaluación SMSA Evaluación SMSA puede ser usada o aplicada en puede ser usada o aplicada en diferentes formas y de acuerdo a las necesidades diferentes formas y de acuerdo a las necesidades de los clientes y proveedoresde los clientes y proveedores
- Por un proveedor, como una auto- evaluación de su Por un proveedor, como una auto- evaluación de su propio Sistema propio Sistema
- Por un cliente para evaluar las operaciones de un Por un cliente para evaluar las operaciones de un proveedor proveedor
- Por un cliente para auditar a algún proveedor Por un cliente para auditar a algún proveedor potencial, previo a algún acuerdo o al potencial, previo a algún acuerdo o al otorgamiento de un contrato otorgamiento de un contrato
44
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Perspectiva Perspectiva
El proceso de evaluación es usado para determinar si el El proceso de evaluación es usado para determinar si el Sistema de un proveedor cumple con los requerimientos Sistema de un proveedor cumple con los requerimientos de seguridad propios y/o legales/gubernamentales.de seguridad propios y/o legales/gubernamentales.
PerspectivaPerspectivaPerspectivaPerspectiva
55
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Métodos Alternativos para Verificar el Cumplimiento Métodos Alternativos para Verificar el Cumplimiento de los Proveedoresde los Proveedores
- Evaluaciones por segundas partes (de los clientes)- Evaluaciones por segundas partes (de los clientes)- Hacer referencia al documento Hacer referencia al documento SMSASMSA..
- Evaluaciones y registros/certificaciones por terceras Evaluaciones y registros/certificaciones por terceras partes.partes.
66
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Proceso de Decisión Por el ClienteProceso de Decisión Por el Cliente
El cliente puede solicitar al proveedor en cuestión uno o El cliente puede solicitar al proveedor en cuestión uno o más de los siguientes puntos, de a cuerudo con los más de los siguientes puntos, de a cuerudo con los requerimientos del cliente mismo:requerimientos del cliente mismo:
- El manual de administración de seguridad del proveedorEl manual de administración de seguridad del proveedor- Procedimientos de soporteProcedimientos de soporte- Auto- evaluaciones (Auto- evaluaciones (SMSASMSA))- Resultados de auditorías de seguridad internasResultados de auditorías de seguridad internas
77
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Método de Evaluación Método de Evaluación
Se forma de tres fases o etapas principales:Se forma de tres fases o etapas principales:
1.1. Revisiones de la documentación del sistema de Revisiones de la documentación del sistema de administración de seguridad (SAS)administración de seguridad (SAS)
2.2. Auditorias de plantaAuditorias de planta
3.3. Análisis y reportesAnálisis y reportes
88
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Alternativas del resumen de la auditoria Alternativas del resumen de la auditoria
El cliente determina cual de las dos alternativas El cliente determina cual de las dos alternativas será usada para contabilizar los hallazgos de la será usada para contabilizar los hallazgos de la auditoría:auditoría:
- Aceptado/RechazadoAceptado/Rechazado- Puntaje/Score VariablePuntaje/Score Variable
Estos Estos elementos puede ser clasificadoelementos puede ser clasificadoss en una de las en una de las dos siguientes formasdos siguientes formas::
- Como el status de "Como el status de "Cumple/No Conformidad Cumple/No Conformidad Menor/No Conformidad MayorMenor/No Conformidad Mayor““
- Como un puntaje de Como un puntaje de 00 a a 33 para cada elemento para cada elemento
99
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Definiciones Definiciones
No conformidad mayor.- No conformidad mayor.- Ausencia o falta total Ausencia o falta total de un sistema, para cumplir algún de un sistema, para cumplir algún requerimiento requerimiento
No conformidad menor.- No conformidad menor.- un incumplimiento un incumplimiento que no sea muy probable el resultado de un que no sea muy probable el resultado de un riesgo riesgo
Cumple.- Cumple.- No se identifican no conformidades No se identifican no conformidades menores ni mayores en la auditoriamenores ni mayores en la auditoria
Adecuacidad.- Adecuacidad.- La documentación especifica del La documentación especifica del proveedor cumple con las intenciones del proveedor cumple con las intenciones del sistema. sistema.
1010
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Proceso de Evaluación por los Clientes UsandoProceso de Evaluación por los Clientes Usando el Método Aceptado/el Método Aceptado/RRechazadoechazado
Se otorgará una evaluación global deSe otorgará una evaluación global de::
1.1. Aceptado.-Aceptado.-" " cuando en la auditoría no se cuando en la auditoría no se identifique ninguna No Conformidad mayor o identifique ninguna No Conformidad mayor o menormenor
2.2. Abierto.- Abierto.- cuando exista una No Conformidad cuando exista una No Conformidad mayor y/o varias No Conformidades menoresmayor y/o varias No Conformidades menores
3.3. RechazadoRechazado.- .- cuando en la auditoría se cuando en la auditoría se identifiquen una o más No Conformidades identifiquen una o más No Conformidades mayoresmayores
1111
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la Seguridad Administración de la Seguridad
Proceso de Evaluación por los Clientes Usando el Proceso de Evaluación por los Clientes Usando el Método de Puntaje/ Score Variable:Método de Puntaje/ Score Variable:
Para cada elemento el resultado de cada pregunta se Para cada elemento el resultado de cada pregunta se marca en la columna del lado derecho como sigue:marca en la columna del lado derecho como sigue:
XX NNo, éste requerimiento no se cumple, o, éste requerimiento no se cumple,
++ Sí, éste requerimiento se cumple, aunque hay Sí, éste requerimiento se cumple, aunque hay inconsistencias menores por resolverse.inconsistencias menores por resolverse.
++ ++ Sí, éste requerimiento se cumple y está Sí, éste requerimiento se cumple y está implementado de manera efectiva.implementado de manera efectiva.
++++++ Sí, éste requerimiento se cumple, está Sí, éste requerimiento se cumple, está implementado de manera efectiva y se muestran implementado de manera efectiva y se muestran mejoras mejoras en los últimos 12 mesesen los últimos 12 meses..
1212
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
PPuntaje/untaje/SScore core PPara ara CCada ada EElementolemento
0 0 Una (ó más) pregunta(s) con un resultado de Una (ó más) pregunta(s) con un resultado de XX ó 4 ó más ó 4 ó más preguntas con un resultado de preguntas con un resultado de ++..
1 1 Una a tres preguntas con un resultado de Una a tres preguntas con un resultado de ++..
2 2 No hay ningún resultado de No hay ningún resultado de X X ó ó ++..
3 3 No hay ningún resultado de No hay ningún resultado de X X ó ó ++, ,
1313
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Puntaje/Puntaje/SScore core FFinalinal
El puntaje final es calculado dividiendo el total del puntaje El puntaje final es calculado dividiendo el total del puntaje de todos los elementos por el número de elementos con de todos los elementos por el número de elementos con respuesta (o que apliquen), y luego se multiplica por respuesta (o que apliquen), y luego se multiplica por 5050..
En apoyo al mejoramiento continuo, los En apoyo al mejoramiento continuo, los auditores/evaluadores de seguridad debieran identificar auditores/evaluadores de seguridad debieran identificar fuerzas y debilidades del sistema de administración fuerzas y debilidades del sistema de administración ambiental y sugerencias y recomendaciones para ambiental y sugerencias y recomendaciones para mejoras.mejoras.
1414
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Reportes de Hallazgos de las EvaluacionesReportes de Hallazgos de las Evaluaciones
Las notas y observaciones debieran contener sugerencias Las notas y observaciones debieran contener sugerencias y recomendaciones específicas para acciones y recomendaciones específicas para acciones correctivas.correctivas.
Debieran incorporarse fechas objetivo de terminación de Debieran incorporarse fechas objetivo de terminación de las acciones correctivas, en los espacios apropiados las acciones correctivas, en los espacios apropiados para No Conformidades mayores o menores, en el para No Conformidades mayores o menores, en el formato del Reporte de Resumen de la Evaluación formato del Reporte de Resumen de la Evaluación SMSASMSA..
CCuando se demuestre el cumplimiento con el sistema,uando se demuestre el cumplimiento con el sistema, pero existan oportunidades de mejoramiento continuo pero existan oportunidades de mejoramiento continuo evidentes, éstas debieran identificarseevidentes, éstas debieran identificarse..
1515
Proceso de Evaluación de un Sistema de Proceso de Evaluación de un Sistema de Administración de la SeguridadAdministración de la Seguridad
Uso de los Puntajes/ Scores para la Toma de Uso de los Puntajes/ Scores para la Toma de Decisiones en las ComprasDecisiones en las Compras
Independientemente del método de puntaje/ score usado Independientemente del método de puntaje/ score usado (aceptado/ rechazado o puntaje/score variable), el área (aceptado/ rechazado o puntaje/score variable), el área de compras de cada cliente establecerá sus propias de compras de cada cliente establecerá sus propias políticas, en relación al uso y aplicación de los resultados políticas, en relación al uso y aplicación de los resultados de la evaluación, para tomar decisiones en cuanto al uso de la evaluación, para tomar decisiones en cuanto al uso de recursosde recursos..
1616
Proceso de Evaluaciones de Proceso de Evaluaciones de Segundas PartesSegundas Partes
1. 1. El Proveedor ofrece al Cliente los Materiales El Proveedor ofrece al Cliente los Materiales SolicitadosSolicitados
El manual debe estar organizado de forma tal que El manual debe estar organizado de forma tal que corresponda con la organización de los tópicos o temas corresponda con la organización de los tópicos o temas del sistema. También, al proveedor se le solicita, del sistema. También, al proveedor se le solicita, normalmente, que entregue:normalmente, que entregue:
- Auto- evaluaciones Auto- evaluaciones - Planes, si existen algunos, Planes, si existen algunos, - Auditorías, si existen algunas, Auditorías, si existen algunas,
1717
Proceso de Evaluaciones de Segundas Proceso de Evaluaciones de Segundas PartesPartes
2.2. Revisión de la DocumentaciónRevisión de la Documentación
El cliente revisa los materiales ofrecidos por El cliente revisa los materiales ofrecidos por el proveedor, para evaluar su el proveedor, para evaluar su adecuacidad en el cumplimiento con el adecuacidad en el cumplimiento con el sistema. sistema.
3.3. ¿La Documentación está OK?¿La Documentación está OK?
El cliente recomienda al proveedor El cliente recomienda al proveedor ciertas revisiones que se requieran ciertas revisiones que se requieran en la documentación del sistema de en la documentación del sistema de administración de la seguridad. administración de la seguridad.
1818
Proceso de Evaluaciones de Segundas Proceso de Evaluaciones de Segundas PartesPartes
4. 4. El Proveedor Realiza las Revisiones NecesariasEl Proveedor Realiza las Revisiones Necesarias
El proveedor revisa la documentación de su El proveedor revisa la documentación de su SASSAS conforme conforme sea necesariosea necesario..
5. El Cliente Prepara la Lista de5. El Cliente Prepara la Lista de Verificación de la Verificación de la AuditoríaAuditoría
La lista de verificación para la auditoría en planta se La lista de verificación para la auditoría en planta se integra de la Evaluación integra de la Evaluación SMSASMSA, además de preguntas , además de preguntas adicionalesadicionales..
1919
Proceso de Evaluaciones de Segundas Proceso de Evaluaciones de Segundas PartesPartes
6. El Cliente Conduce la Auditoria en 6. El Cliente Conduce la Auditoria en PlantaPlanta
El cliente usa y aplica la lista de El cliente usa y aplica la lista de verificación para evaluar las operaciones verificación para evaluar las operaciones del proveedor. Esta auditoria es del proveedor. Esta auditoria es conducida en la planta o áreas de conducida en la planta o áreas de manufactura. Si se cuenta con manufactura. Si se cuenta con operaciones o procesos múltiples dentro operaciones o procesos múltiples dentro de una misma planta, el cliente puede de una misma planta, el cliente puede auditar éstos en forma aleatoria. auditar éstos en forma aleatoria.
2020
Proceso de Evaluaciones de Segundas Proceso de Evaluaciones de Segundas PartesPartes
7. El Cliente Identifica las No Conformidades.7. El Cliente Identifica las No Conformidades.
Todas las No Conformidades identificadas deben incluirse Todas las No Conformidades identificadas deben incluirse en el reporte resumen. en el reporte resumen.
8. El Proveedor Elimina las No Conformidades 8. El Proveedor Elimina las No Conformidades
Si el proveedor puede eliminar o corregir las No Si el proveedor puede eliminar o corregir las No Conformidades menores durante el curso de la auditoría, Conformidades menores durante el curso de la auditoría, tales correcciones también deben incluirse y anotarse en tales correcciones también deben incluirse y anotarse en el reporte.el reporte.
2121
Proceso de Evaluaciones de Segundas Proceso de Evaluaciones de Segundas PartesPartes
9. Verificación por el Cliente.9. Verificación por el Cliente.
EEl cliente verificará la efectividad de las acciones l cliente verificará la efectividad de las acciones correctivas, en planta y/o vía revisión de la correctivas, en planta y/o vía revisión de la documentación documentación
10. El Cliente Informa al Proveedor del Status ó 10. El Cliente Informa al Proveedor del Status ó Resultado Final de la AuditoríaResultado Final de la Auditoría
El cliente ofrece al proveedor el status final de la auditoría El cliente ofrece al proveedor el status final de la auditoría (ej., aceptado/rechazado).(ej., aceptado/rechazado).
Final de la PresentaciónFinal de la Presentación
¿Preguntas?¿Preguntas?