ISO 28003 2007

NORMA
ISO 28003:2007
Sistemas de Gestion de
Seguridad para la Cadena de
Suministro - Requisitos para los
organismos que presten
servicios de auditoría y
certificación de sistemas de
gestión de seguridad de la
cadena de suministro
REQUISITOS DE
COMPETENCIA DE
AUDITORES DE
SEGURIDAD PARA LA
CADENA DE
SUMINISTRO
Ing. Miller A. Romero / gerencia@consultoresauditores.com
www.consultoresauditores.com

q I S O 2 8 0 0 3 f u e p r e p a r a d a
conjuntamente por el Comité de ISO
para la evaluación de la conformidad
(ISO / CASCO) y la tecnología ISO / TC 8,
buques y marinos.
q Esta primera edición anula y sustituye a
la norma ISO / PAS 28003:2006, la cual
ha sido revisada técnicamente.
q ISO 28003 incluye los requisitos de la
norma ISO / IEC 17021, Evaluación de la
conformidad - Requisitos para los
organismos que realizan la auditoría y
certificación de sistemas de gestión.
q Proporciona orientación armonizada
para la acreditación de organismos de
certificación ISO 28000
ISO 28003 : 2007
Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001

PRINCIPIOS PARA LOS ORGANISMOS DE CERTIFICACION
El valor de la certificación es el grado de
confianza por parte del público que se
establece para un sistema de gestión,
proceso o producto (incluyendo
servicios) que ha sido evaluado de forma
imparcial y competente por parte de un
tercero.
4.1.3 Principios para inspirar confianza
ü IMPARCIALIDAD
ü LA COMPETENCIA
ü LA RESPONSABILIDAD
ü LA TRANSPARENCIA
ü LA CONFIDENCIALIDAD
ü LA CAPACIDAD DE RESPUESTA A LAS
QUEJAS.
ISO 28003 : 2007

PRINCIPIOS PARA LOS ORGANISMOS DE CERTIFICACION
4.2.4 Amenazas a la imparcialidad
q Interés propio
q Auto-revisión
q Familiaridad o confianza
q La intimidación
ISO 28003 : 2007

7.2 PERSONAL QUE INTERVIENEN EN LAS ACTIVIDADES DE
CERTIFICACION
7.2.1
COMPETENTE
7.2.2
EMPLEAR AUDITORES LIDERES, AUDITORES Y EXPERTOS
TECNICOS
7.2.3
D I V U L G A R A L P E R S O N A L S U S D E B E R E S ,
RESPONSABILIDADES Y AUTORIDAD.
7.2.3.1
COMPETENCIA DE EQUIPO AUDITOR EN
ANÁLISIS DE RIESGOS,
ANÁLISIS DE PUNTOS CRÍTICOS DE CONTROL,
METODOLOGÍAS DE GESTIÓN DE RIESGOS Y
LA CONFIDENCIALIDAD DE INFORMACIÓN.
ADEMAS DE :
• COMPRENDER LOS REQUISITOS ISO 28000 PARA LA
CADENA DE SUMINISTRO
• TODO TIPO DE AMENAZAS EN LA CADENA DE SUMINISTRO
• EVALUACIÓN DE RIESGOS Y ANÁLISIS:
• MINIMIZACIÓN DE RIESGOS, MITIGACIÓN Y CONTROL:
• PLANES DE CONTINGENCIAS / CONTINUIDAD /
RECUPERACIÓN / RESILIENCIA
7.2.3.3
PLAN DE FORMACION PARA AUDITORES
REQUISITOS DEL PLAN DE FORMACION
A) RESULTADO DE ANALISIS DE NECESIDADES
B) SER REGISTRADO
C) INCLUYIR ESTUDIO DE CASOS DE AUDITORIA
D) INTERPRETACION DE NORMAS
E) SER EVALUADO
F) EJECUTADO POR FACILITADORES CALIFICADOS
ISO 28003 : 2007

CERTIFICACION
7.2.3.4
AUDITOR CON MINIMO DE CINCO ( 5 ) AÑOS DE EXPERIENCIA
RELEVANTE PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS, O DE DOS
AÑOS DE AUDITORIA A PRÁCTICAS Y ESTÁNDARES DEL SECTOR.
7.2.3.5 AUDITOR REALIZAR UN MÍNIMO DE 5 AUDITORÍAS POR AÑO O LLEVAR
A CABO UN MÍNIMO DE 10 DÍAS DE AUDITORÍA EN SITIO POR AÑO
7.2.3.6
AUDITOR CON LA FORMACIÓN Y EXPERIENCIA ADECUADAS PARA LAS
DIFERENTES CATEGORÍAS PARA LAS QUE SE CONSIDERA
COMPETENTE.
7.2.4
PROCEDIMIENTO PARA LA SELECCIONAR, FORMACION,
AUTORIZACION DE EXPERTOS TECNICOS
INCLUIR EN EVALUACION DE AUDITORES LA CAPACIDAD PARA
APLICAR EL CONOCIMIENTO Y LAS HABILIDADES EN AUDITORIA IN
SITU
UTILIZAR EVALUADOR COMPETENTE
7.2.5 PROCEDIMIENTO PARA DEMOSTRAR Y LOGRAR AUDITORIAS
EFICACES
7.2.6
CONOCIMIENTO DE PROCEDIMIENTO POR EQUIPO AUDITOR
ACCESO DE EQUIPO AUDITOR A PROCEDIMIENTOS DE CERTIFICACION
ISO 28003 : 2007

CERTIFICACION
7.2.7 UTILIZAR AUDITORES Y EXPERTOS TECNICOS UNICAMENTE EN LOS
SECTORES QUE POSEEN COMPETENCIA
7.2.8
SUMINISTRAR FORMACION A AUDITORES Y EXPERTOS TECNICOS
PROGRAMAR AUDITORES CON CONOCIMIENTOS Y EXPERIENCIA DE
SEGURIDAD EN LAS CADENAS DE SUMINISTRO DE LOS SECTORES
AUDITADOS.
7.2.9
EL GRUPO O LA PERSONA QUE TOMA LA DECISIÓN DE OTORGAR,
MANTENER, RENOVAR, AMPLIAR, REDUCIR, SUSPENDER O RETIRAR
LA CERTIFICACIÓN DEBE COMPRENDER LA NORMA APLICABLE Y
LOS REQUISITOS DE CERTIFICACIÓN, Y DEMOSTRAR COMPETENCIA
PARA EVALUAR LOS PROCESOS DE AUDITORÍA Y LAS
RECOMENDACIONES RELACIONADAS DEL EQUIPO AUDITOR.
7.2.10
EVALUAR DESEMPEÑO DE EQUIPO AUDITOR Y DEMAS PERSONAL
INTERVINIENTE EN LA CERTIFICACION
COMPETENCIA VERIFICABLE MEDIANTE EXAMENES ESCRITOS CON
NOTAS MINIMAS DE APROBACION.
7.2.11
LA EVALUACION DE DESEMPEÑO DE AUDITORES DEBE INCLURI
• OBSERVACIÓN IN SITU,
• REVISIÓN DE LOS INFORMES DE AUDITORÍA Y
• LA RETROALIMENTACIÓN DE LOS CLIENTES O DEL MERCADO,
REQUISITOS DE EVALUACION DOCUMENTADOS.
7.2.12 EL ORGANISMO DE CERTIFICACIÓN DEBE OBSERVAR
PERIÓDICAMENTE EL DESEMPEÑO DE CADA AUDITOR IN SITU.
7.2.15
EL ORGANISMO DE CERTIFICACIÓN DEBE REVISAR LA
COMPETENCIA DE SU PERSONAL, A LA LUZ DE SUS RESULTADOS
CON EL FIN DE IDENTIFICAR LAS NECESIDADES DE CAPACITACIÓN.
ISO 28003 : 2007

7.3 EMPLEO DE AUDITORES EXTERNOS Y EXPERTOS TÉCNICOS
EXTERNOS INDIVIDUALES
ACUERDO DE CONFIDENCIALIDAD POR ESCRITO CON
AUDITORES Y EXPERTOS TECNICOS.
INCLUIR REPORTE DE CONFLICTO DE INTERESES
EL ACUERDO NO CONSTITUYE CONTRATACION.
ISO 28003 : 2007

7.4 REGISTROS RELATIVOS AL PERSONAL
EL ORGANISMO DE CERTIFICACIÓN DEBE MANTENER
REGISTROS ACTUALIZADOS DEL PERSONAL QUE
INTERVIENE EN LA CERTIFICACION
7.4.1
APLICACIÓN DE ESTUDIOS DE SEGURIDAD EQUIPO AUDITOR
LOS CLIENTES DE AUDITORIA PUEDEN TENER ACCESO A
ESTUDIOS DE SEGURIDAD U OTRAS PARTES INTERESADAS
SI SE REQUIERE.
DOCUMENTAR PROCESO DE INVESTIGACION DE EQUIPO
AUDITOR
7.4.2
VERIFICACIÓN DE ANTECEDENTES
LOS ORGANISMOS DE CERTIFICACIÓN DEBERÁN LLEVAR A
CABO VERIFICACIONES DE ANTECEDENTES PENALES DE
TODO EL PERSONAL, AUDITORES Y EXPERTOS TÉCNICOS.
CUANDO NO APLIQUE SE DEBEN REALIZAR ENTREVISTAS DE
SEGURIDAD
7.4.3
DEBE EXISTIR UN RESPONSABLE DE LA EJECUCION DE
ENTREVISTA DE SEGURIDAD, EXAMEN DE LA
DOCUMENTACIÓN PRESENTADA PARA DETERMINAR
CONFIABILIDAD DE LOS POSTULADOS A AUDITORES.
ISO 28003 : 2007

7.4 REGISTROS RELATIVOS AL PERSONAL
7.4.4 VERIFICACION DE REFERENCIAS LABORALES DE ALMENOS 5 AÑOS
DE TRABAJO
7.4.5
CARNE DE IDENTIFICACIÓN
CADA AUDITOR DE SEGURIDAD, SE LE EXPEDIRÁ UN CARNE DE
IDENTIFICACIÓN QUE INCLUYA LO SIGUIENTE:
FOTOGRAFÍA;
NOMBRE(S) Y APELLIDOS;
NACIONALIDAD;
NÚMERO DE IDENTIFICACIÓN DE LA TARJETA;
NOMBRE Y EL LOGOTIPO DEL ORGANISMO DE CERTIFICACIÓN;
UNA MARCA Y CARACTERÍSTICA QUE IMPIDE LA ALTERACIÓN Y
FALSIFICACIÓN.
CUANDO LAS POLÍTICAS DE CONFIDENCIALIDAD Y SEGURIDAD LO
REQUIERAN PODRÁN SER SOLICITADAS POR ORGANIZACIONES EN
PROCESO DE AUDITORÍA.
7.4.6
PROCEDIMIENTO PARA LA APLICACIÓN DE MEDIDAS DISCIPLINARIAS
EN CASO DE INCUMPLIMIENTO DE REQUISITOS POR PARTE DE
AUDITORES.
7.4.7
LOS AUDITORES DEBEN SER INFORMADOS POR ESCRITO Y
COMPRENDER LAS INFRACCIONES QUE PUDIERAN SOMETERSE A
MEDIDAS DISCIPLINARIAS, RESPONSABILIDAD CIVIL Y LOS
ENJUICIAMIENTOS PENALES.
ISO 28003 : 2007

9.1.2 PLAN DE AUDITORIA
9.1.2.2.2
OBJETIVO DE LA AUDITORIA
A) LA DETERMINACIÓN DE LA CONFORMIDAD DEL SISTEMA
DE GESTIÓN DEL CLIENTE, O DE PARTES DE DICHO
SISTEMA, CON LOS CRITERIOS DE AUDITORÍA;
B) LA EVALUACIÓN DE LA CAPACIDAD DEL SISTEMA DE
GESTIÓN PARA ASEGURAR QUE LA ORGANIZACIÓN
CLIENTE CUMPLE LOS REQUISITOS LEGALES,
REGLAMENTARIOS Y CONTRACTUALES APLICABLES;
C) LA EVALUACIÓN DE LA EFICACIA DEL SISTEMA DE
GESTIÓN PARA ASEGURAR QUE LA ORGANIZACIÓN
CLIENTE CUMPLE CONTINUAMENTE SUS OBJETIVOS
ESPECIFICADOS; Y
D) CUANDO CORRESPONDA, LA IDENTIFICACIÓN DE LAS
ÁREAS DE MEJORA POTENCIAL DEL SISTEMA DE
GESTIÓN.
9.1.2.2.3
EL ALCANCE DE LA AUDITORÍA DEBE DESCRIBIR LA
EXTENSIÓN Y LOS LÍMITES DE LA AUDITORÍA, TAL COMO, LAS
UBICACIONES FÍSICAS, LAS UNIDADES ORGANIZACIONALES,
LAS ACTIVIDADES Y LOS PROCESOS A AUDITAR.
9.1.2.2.4 CRITERIOS DE AUDITORIA
ISO 28003 : 2007

9.1.2.3 PREPARACION DEL PLAN DE AUDITORIA
EL PLAN DE AUDITORÍA DEBE AJUSTARSE A LOS OBJETIVOS Y
AL ALCANCE DE LA AUDITORÍA.
EL PLAN DE AUDITORÍA DEBE AL MENOS INCLUIR O HACER
REFERENCIA A LO SIGUIENTE:
A) LOS OBJETIVOS DE LA AUDITORÍA;
B) LOS CRITERIOS DE LA AUDITORÍA;
C) EL ALCANCE DE LA AUDITORÍA, INCLUIDA LA
IDENTIFICACIÓN DE LAS UNIDADES ORGANIZACIONALES
Y FUNCIONALES O DE LOS PROCESOS A AUDITAR;
D) LAS FECHAS Y LOS SITIOS EN LOS QUE SE VAN A
REALIZAR LAS ACTIVIDADES DE AUDITORÍA IN SITU,
INCLUIDAS LAS VISITAS A LOS SITIOS TEMPORALES,
CUANDO CORRESPONDA;
E) EL TIEMPO Y LA DURACIÓN PREVISTOS PARA LAS
ACTIVIDADES DE AUDITORÍA IN SITU, Y
F) LAS FUNCIONES Y LAS RESPONSABILIDADES DE LOS
MIEMBROS DEL EQUIPO AUDITOR Y DE LAS PERSONAS
QUE LOS ACOMPAÑAN.
9.1.3 SELECCIÓN DEL EQUIPO AUDITOR Y ASIGNACIÓN DE TAREAS
9.1.3.1
PROCEDIMIENTO SELECCIÓN EQUIPO AUDITOR (LIDER Y
AUDITORES)
CUANDO HAY UN SOLO AUDITOR DEBE TENER COMPETENCIA
DE AUDITOR LIDER
ISO 28003 : 2007

9.1.3 SELECCIÓN DEL EQUIPO AUDITOR Y ASIGNACIÓN DE
TAREAS
9.1.3.2
DESIGNAR EL EQUIPO TENIENDO EN CUENTA:
a) LOS OBJETIVOS, ALCANCE Y CRITERIOS DE LA
AUDITORÍA Y, LA DURACIÓN ESTIMADA DE LA MISMA;
b) SI LA AUDITORÍA ES UNA AUDITORÍA COMBINADA,
INTEGRADA O CONJUNTA;
c) LA COMPETENCIA GLOBAL DEL EQUIPO AUDITOR
NECESARIA PARA LOGRAR LOS OBJETIVOS DE LA
AUDITORÍA;
d) LOS REQUISITOS DE LA CERTIFICACIÓN (INCLUIDOS
TODOS LOS REQUISITOS LEGALES, REGLAMENTARIOS O
CONTRACTUALES APLICABLES);
e) EL IDIOMA Y LA CULTURA; Y
f) SI LOS MIEMBROS DEL EQUIPO AUDITOR HAN AUDITADO
PREVIAMENTE EL SISTEMA DE GESTIÓN DEL CLIENTE.
9.1.3.3 APOYO DE EXPERTOS TECNICOS
9.1.3.4 AUDITORES EN FORMACION ACOMPAÑADOS SIEMPRE DE
AUDITOR
9.1.3.5
EL AUDITOR LIDER UNICO RESPONSABLE DE ASIGNAR
FUNCIONES Y RESPONSABILIDADES
ISO 28003 : 2007

9.1.5 MUESTREO MULTISITIO
PROCEDIMIENTO MUESTREO MULTISITIO.
SE DEBE ARGUMENTAR Y DOCUMENTAR LA JUSTIFICACIÓN
DEL PLAN DE MUESTREO PARA CADA CLIENTE.
9.1.6
COMUNICACION DE LAS TAREAS DEL EQUIPO AUDITOR AL
CLIENTE
TODOS LOS SITIOS DEBEN SER OBJETO DE AUDITORIA, LAS
EXCLUSIONES DEBEN SOPORTARSE Y ARGUMENTARSE EN
LOS RIESGOS.
PARA DETERMINAR EL TIEMPO DE AUDITOR, EL ORGANISMO
DE CERTIFICACIÓN DEBERÍA CONSIDERAR, ENTRE OTRAS
COSAS, LOS SIGUIENTES ASPECTOS:
A) LOS REQUISITOS PERTINENTES DE LA CADENA DE
SUMINISTRO ESTÁNDAR DE SISTEMA DE GESTIÓN DE LA
SEGURIDAD;
B) LA COMPLEJIDAD;
C) TAMAÑO;
D) RIESGOS;
E) EL CONTEXTO TECNOLÓGICO Y NORMATIVO, Y
F) EL NÚMERO DE SITIOS Y CONSIDERACIONES MÚLTIPLES
SITIOS
LOS DÍAS DE AUDITOR SE BASA EN LA TABLA ANEXO A.
ISO 28003 : 2007

9.1.5 MUESTREO MULTISITIO
9.1.7
PROPORCIONAR EL NOMBRE Y, CUANDO SE SOLICITE,
PONER A DISPOSICIÓN LOS ANTECEDENTES DE CADA
MIEMBRO DEL EQUIPO AUDITOR A LA ORGANIZACIÓN
CLIENTE,
SE PUEDE RECORTAR TIEMPOS DE AUDITORIA O NO
AUDITAR SITIOS BAJO ARGUMENTOS DE RIESGOS QUE
NO IMPACTAN LA CADENA DE SUMINISTRO.
9.1.8
SE DEBE COMUNICAR AL CLIENTE EL PLAN DE
AUDITORIA
EL PLAN DE AUDITORIA PUEDE SER REALIZADO POR
UN AUDITOR NO LIDER PERO DEBE SER REVISADO Y
APROBADO POR EL AUDITOR LIDER.
ISO 28003 : 2007

9.1.9 REALIZACION DE LA AUDITORIA IN SITU
9.1.9.1 GENERALIDADES
PROCEDIMIENTO PARA REALIZAR LAS AUDITORÍAS IN SITU.
ESTE PROCESO DEBE INCLUIR UNA REUNIÓN DE APERTURA
AL COMIENZO DE LA AUDITORÍA Y UNA REUNIÓN DE CIERRE
A LA CONCLUSIÓN DE LA AUDITORÍA.
9.1.9.2
REALIZACIÓN DE LA REUNIÓN DE APERTURA
LISTA DE VERIFICACION REUNION DE APERTURA
9.1.9.3 COMUNICACION DURANTE LA AUDITORIA
9.1.9.3.1
DURANTE LA AUDITORÍA, EL EQUIPO AUDITOR DEBE
EVALUAR PERIÓDICAMENTE EL PROGRESO DE LA
AUDITORÍA E INTERCAMBIAR INFORMACIÓN
9.1.9.3.2
CUANDO LAS EVIDENCIAS DISPONIBLES DE LA AUDITORÍA
INDIQUEN QUE LOS OBJETIVOS DE LA AUDITORÍA NO SON
ALCANZABLES O SUGIERA LA PRESENCIA DE UN RIESGO
INMEDIATO Y SIGNIFICATIVO (POR EJEMPLO, EN MATERIA DE
SEGURIDAD), EL LÍDER DEL EQUIPO AUDITOR DEBE
INFORMAR DE ESTE HECHO AL CLIENTE Y, SI ES POSIBLE, AL
ORGANISMO DE CERTIFICACIÓN PARA DETERMINAR LAS
ACCIONES APROPIADAS.
9.1.9.3.3
EL LÍDER DEL EQUIPO AUDITOR DEBE REVISAR CON EL
CLIENTE CUALQUIER NECESIDAD DE MODIFICACIÓN DEL
ALCANCE DE LA AUDITORÍA QUE SURJA A MEDIDA QUE
AVANCEN LAS ACTIVIDADES DE LA AUDITORÍA IN SITU E
INFORMAR AL ORGANISMO DE CERTIFICACIÓN.
ISO 28003 : 2007

9.1.9.4 OBSERVADORES Y GUIAS
9.1.9.4.1 OBSERVADORES
LA PRESENCIA Y LA JUSTIFICACIÓN DE
OBSERVADORES DURANTE UNA ACTIVIDAD DE
AUDITORÍA DEBE ACORDARSE ENTRE EL
ORGANISMO DE CERTIFICACIÓN Y EL CLIENTE
ANTES DE LA REALIZACIÓN DE LA AUDITORÍA.
EL EQUIPO AUDITOR DEBE ASEGURARSE DE QUE
LOS OBSERVADORES NO INFLUYEN NI
INTERFIEREN EN EL PROCESO DE AUDITORÍA O EL
RESULTADO DE LA AUDITORÍA.
9.1.9.4.2 GUIAS
CADA AUDITOR DEBE ESTAR ACOMPAÑADO DE UN
GUÍA,
ISO 28003 : 2007

9.1.9.5 RECOPILACION Y VERIFICACION DE LA INFORMACION
9.1.9.5.1 MUESTREO APROPIADO DE INFORMACION Y VERIFICACION
DE EVIDENCIAS
9.1.9.5.2
LOS MÉTODOS PARA RECOPILAR LA INFORMACIÓN
A) LAS ENTREVISTAS;
B) LA OBSERVACIÓN DE LOS PROCESOS Y LAS
ACTIVIDADES; Y
C) LA REVISIÓN DE LA DOCUMENTACIÓN Y DE LOS
REGISTROS.
9.1.9.6 IDENTIFICACION Y REGISTRO DE LOS HALLAZGOS DE
AUDITORIA
9.1.9.6.1 INFORME DE REPORTE DE HALLAZGOS
9.1.9.6.2 SE PUEDEN IDENTIFICAR Y REGISTRAR OPORTUNIDADES DE
MEJORA
ISO 28003 : 2007

9.1.9.6.3 REPORTAR NO CONFORMIDADES CONTRA REQUISITOS DE
NORMA
9.1.9.6.4 LOGRAR CONCENSO DE LOS HALLAZGOS CON EL CLIENTE DE
AUDITORIA
9.1.9.7
PREPARACIÓN DE LAS CONCLUSIONES DE LA AUDITORÍA
ANTES DE LA REUNIÓN DE CIERRE, EL EQUIPO AUDITOR DEBE:
A) REVISAR LOS HALLAZGOS DE AUDITORÍA CON RESPECTO A
LOS OBJETIVOS DE LA AUDITORÍA;
B) ACORDAR LAS CONCLUSIONES DE LA AUDITORÍA,
C) IDENTIFICAR TODA ACCIÓN DE SEGUIMIENTO NECESARIA;
D) CONFIRMAR QUE EL PROGRAMA DE AUDITORÍA ES
ADECUADO O IDENTIFICAR CUALQUIER MODIFICACIÓN QUE
SEA NECESARIA (POR EJEMPLO, EL ALCANCE, LOS HORARIOS
O LAS FECHAS DE LA AUDITORÍA, LA FRECUENCIA DE LAS
ACCIONES DE SEGUIMIENTO, LAS COMPETENCIAS).
ISO 28003 : 2007

9.1.9.8 REALIZACION DE LA REUNION DE CIERRE
9.1.9.8.1
SE DEBE REALIZAR UNA REUNIÓN FORMAL DE CIERRE,
SE DEBE REGISTRAR LA ASISTENCIA A LA MISMA.
9.1.9.8.2 ELEMENTOS DE LA LA REUNIÓN DE CIERRE
9.1.9.8.3
LAS DIFERENCIAS DE OPINIÓN QUE NO SE RESUELVAN
DEBEN REGISTRARSE Y REMITIRSE AL ORGANISMO DE
CERTIFICACIÓN.
ISO 28003 : 2007

9.1.10 INFORME DE AUDITORIA
9.1.10.1 INFORME ESCRITO DE AUDITORIA
9.1.10.2
EL INFORME DE AUDITORÍA DEBE PROPORCIONAR UN REGISTRO
COMPLETO, EXACTO, CLARO Y CONCISO DE LA AUDITORÍA
QUE PERMITA TOMAR UNA DECISIÓN INFORMADA Y DEBE
INCLUIR O HACER REFERENCIA A LO SIGUIENTE:
A) LA IDENTIFICACIÓN DEL ORGANISMO DE CERTIFICACIÓN;
B) EL NOMBRE Y LA DIRECCIÓN DEL CLIENTE Y DEL
REPRESENTANTE DE LA DIRECCIÓN DEL CLIENTE;
C) EL TIPO DE AUDITORÍA (POR EJEMPLO, AUDITORÍA INICIAL, DE
SEGUIMIENTO O DE RENOVACIÓN DE LA CERTIFICACIÓN);
D) LOS CRITERIOS DE LA AUDITORÍA;
E) LOS OBJETIVOS DE LA AUDITORÍA;
F) EL ALCANCE DE LA AUDITORÍA, PARTICULARMENTE LA
IDENTIFICACIÓN DE LAS UNIDADES ORGANIZACIONALES O
FUNCIONALES O LOS PROCESOS AUDITADOS, ASÍ COMO LA
DURACIÓN DE LA AUDITORÍA;
G) LA IDENTIFICACIÓN DEL LÍDER DEL EQUIPO AUDITOR, LOS
MIEMBROS DEL EQUIPO AUDITOR Y CUALQUIER PERSONA
ACOMPAÑANTE;
H) LAS FECHAS Y LUGARES EN LOS QUE SE REALIZARON LAS
ACTIVIDADES DE AUDITORÍA (IN SITU O FUERA);
I) LOS HALLAZGOS, LAS EVIDENCIAS, Y LAS CONCLUSIONES
DE LA AUDITORÍA, COHERENTES CON LOS REQUISITOS DEL
TIPO DE AUDITORÍA; Y
II) J) CUALQUIER PROBLEMA NO RESUELTO, SI FUERA
IDENTIFICADO.
9.1.11
ESE DEBE REQUERIR AL CLIENTE APLICACIÓN DE ACCIONES
CORRECTIVAS
ISO 28003 : 2007

9.1.12
EFICACIA DE LAS CORRECCIONES Y ACCIONES CORRECTIVAS
REVISAR LAS CORRECCIONES, IDENTIFICAR LAS CAUSAS Y LAS
ACCIONES CORRECTIVAS ENVIADAS POR EL CLIENTE PARA
DETERMINAR SI SON ACEPTABLES.
9.1.13
AUDITORÍAS ADICIONALES
SE DEBE INFORMAR A LA ORGANIZACIÓN AUDITADA SI SERÁ
NECESARIO REALIZAR UNA AUDITORÍA COMPLETA ADICIONAL
9.1.14
DECISIÓN DE CERTIFICACIÓN
ASEGURAR IMPARCIALIDAD DE COMITÉ DE CERTIFICACION
9.1.15
ACCIONES PREVIAS A LA TOMA DE LA DECISIÓN
EL ORGANISMO DE CERTIFICACIÓN DEBE CONFIRMAR, ANTES
DE TOMAR UNA DECISIÓN, QUE:
A) LA INFORMACIÓN PROPORCIONADA POR EL EQUIPO
AUDITOR ES SUFICIENTE CON RESPECTO A LOS REQUISITOS
DE CERTIFICACIÓN Y AL ALCANCE DE LA CERTIFICACIÓN;
B) SE HA REVISADO, ACEPTADO Y VERIFICADO LA EFICACIA
DE LAS CORRECCIONES Y DE LAS ACCIONES
CORRECTIVAS, PARA TODAS LAS NO CONFORMIDADES
QUE REPRESENTAN:
1) EL INCUMPLIMIENTO DE UNO O MÁS REQUISITOS DE LA
NORMA DE SISTEMAS DE GESTIÓN, O
2) UNA SITUACIÓN QUE GENERE DUDAS SIGNIFICATIVAS
SOBRE LA CAPACIDAD DEL SISTEMA DE GESTIÓN DEL
CLIENTE PARA ALCANZAR LOS RESULTADOS PRETENDIDOS;
C) SE HA REVISADO Y ACEPTADO EL PLAN DE CORRECCIONES
Y ACCIONES CORRECTIVAS.
ISO 28003 : 2007

9.2.3.1 AUDITORIA DE LA ETAPA 1
9.2.3.1.1
OBJETO
a) AUDITAR LA DOCUMENTACIÓN
b) EVALUAR LA UBICACIÓN Y LAS CONDICIONES
ESPECÍFICAS DEL SITIO DEL CLIENTE Y DETERMINAR EL
ESTADO DE PREPARACIÓN PARA LA AUDITORÍA DE LA
ETAPA 2;
c) REVISAR EL ESTADO DEL CLIENTE Y SU GRADO DE
COMPRENSIÓN DE LOS REQUISITOS DE LA NORMA,;
d) RECOPILAR LA INFORMACIÓN NECESARIA
CORRESPONDIENTE AL ALCANCE DEL SISTEMA DE
GESTIÓN, A LOS PROCESOS Y A LAS UBICACIONES DE
LA ORGANIZACIÓN CLIENTE, ASÍ COMO A LOS ASPECTOS
LEGALES Y REGLAMENTARIOS RELACIONADOS Y SU
CUMPLIMIENTO
e) REVISAR LA ASIGNACIÓN DE RECURSOS PARA LA
AUDITORÍA DE LA ETAPA 2 Y ACORDAR CON EL CLIENTE
LOS DETALLES DE LA AUDITORÍA DE LA ETAPA 2;
f) PROPORCIONAR UN ENFOQUE PARA LA PLANIFICACIÓN
DE LA AUDITORÍA DE LA ETAPA 2,
g) EVALUAR SI LAS AUDITORÍAS INTERNAS Y LA REVISIÓN
POR LA DIRECCIÓN SE PLANIFICAN Y REALIZAN
h) SE RECOMIENDA QUE AL MENOS PARTE DE LA
AUDITORÍA DE LA ETAPA 1 SE LLEVE A CABO EN LAS
INSTALACIONES DEL CLIENTE,
EN CASOS EXCEPCIONALES ETAPA 1 PODRÍA LLEVARSE A
CABO SIN UNA VISITA. LA DECISIÓN DE NO VISITAR EL SITIO
DEBE ESTAR JUSTIFICADO Y DOCUMENTADO Y EL CLIENTE
DEBERÁ SER INFORMADO QUE CREA UN RIESGO PARA LA
ETAPA 2 DE LA AUDITORÍA. ESTA JUSTIFICACIÓN DEBE
BASARSE EN EL TAMAÑO DE LAS ORGANIZACIONES, LA
UBICACIÓN, LAS CONSIDERACIONES DE RIESGO, EL
CONOCIMIENTO PREVIO, ETC
ISO 28003 : 2007

9.2.3.1 AUDITORIA DE LA ETAPA 1
9.2.3.1.2
LOS HALLAZGOS DE LA AUDITORÍA DE LA ETAPA 1
DEBEN DOCUMENTARSE Y COMUNICARSE AL CLIENTE,
9.2.3.1.3
EN EL MOMENTO DE DETERMINAR EL INTERVALO ENTRE
LA AUDITORÍA DE LA ETAPA 1 Y LA AUDITORÍA DE LA
ETAPA 2, SE DEBEN CONSIDERAR LAS NECESIDADES
DEL CLIENTE PARA RESOLVER LOS PROBLEMAS
IDENTIFICADOS EN LA AUDITORÍA DE LA ETAPA 1.
EL ORGANISMO DE CERTIFICACIÓN PUEDE ASIMISMO
TENER QUE REVISAR SUS ACUERDOS PARA LA
AUDITORÍA DE LA ETAPA 2.
LOS PROCESOS DEL SGSCS REVISADOS EN ETAPA 1 NO
TIENEN QUE NECESARIAMENTE VOLVERSE A REVISAR
EN ETAPA 2
EL INFORME DE AUDITORIA DE LA ETAPA 2 DEBERÁ
INCLUIR LOS HALLAZGOS Y DESCRIPCION DE ESTADO
DE CIERRE DE LA ETAPA 1.
ISO 28003 : 2007

9.2.3.2.
AUDITORIA DE LA ETAPA 2
EL PROPÓSITO DE LA AUDITORÍA DE LA ETAPA 2 ES EVALUAR
LA IMPLEMENTACIÓN, INCLUIDA LA EFICACIA, DEL SISTEMA
DE GESTIÓN DEL CLIENTE.
LA AUDITORÍA DE LA ETAPA 2 DEBE TENER LUGAR EN LAS
UBICACIONES DEL CLIENTE.
DEBE INCLUIR AL MENOS LO SIGUIENTE:
A) LA INFORMACIÓN Y LAS EVIDENCIAS DE LA
CONFORMIDAD
B) LA REALIZACIÓN DE ACTIVIDADES DE SEGUIMIENTO,
MEDICIÓN, INFORME Y REVISIÓN CON RELACIÓN A LOS
OBJETIVOS Y METAS DE DESEMPEÑO CLAVE;
C) EL SISTEMA DE GESTIÓN DEL CLIENTE Y SU DESEMPEÑO
EN RELACIÓN CON EL CUMPLIMIENTO DE LA
LEGISLACIÓN;
D) EL CONTROL OPERACIONAL DE LOS PROCESOS DEL
CLIENTE;
E) LAS AUDITORÍAS INTERNAS Y LA REVISIÓN POR LA
DIRECCIÓN;
F) LA RESPONSABILIDAD DE LA DIRECCIÓN EN RELACIÓN
CON LAS POLÍTICAS DEL CLIENTE;
G) LOS VÍNCULOS ENTRE LOS REQUISITOS NORMATIVOS, LA
POLÍTICA, LOS OBJETIVOS Y METAS DE DESEMPEÑO,
CUALQUIER REQUISITO LEGAL APLICABLE, LA
RESPONSABILIDAD, LA COMPETENCIA DEL PERSONAL,
LAS OPERACIONES, LOS PROCEDIMIENTOS, LOS DATOS
DEL DESEMPEÑO Y LOS HALLAZGOS Y CONCLUSIONES
DE LAS AUDITORÍAS INTERNAS.
ISO 28003 : 2007

9.2.3.2.1
FASE 2
AUDITORÍAS DEBEN TENER UN PLAN DE AUDITORÍA
9.2.3.2.6
EL EQUIPO AUDITOR DEBE ANALIZAR TODA LA
INFORMACIÓN Y EVIDENCIA DE AUDITORÍA OBTENIDA
DURANTE LA ETAPA 1 Y LA ETAPA 2.
EL EQUIPO DE AUDITORÍA PODRÁ PROPONER
OPORTUNIDADES DE MEJORA, PERO NO
RECOMENDARÁ SOLUCIONES ESPECÍFICAS.
9.2.3.2.7
9.2.3.2.8 ACCIÓN QUE SE LLEVARÁ A CABO DESPUÉS
DE LA FINALIZACIÓN DE UNA ETAPA 2 DE LA AUDITORÍA
DEBERÁ INCLUIR AL MENOS LO SIGUIENTE:
A) UN REGISTRO DE LAS NO CONFORMIDADES
IDENTIFICADAS Y ACORDADAS SE QUEDA CON EL
CLIENTE ANTES DE LA SALIDA DE LA AUDITORÍA IN
SITU;
B) EL ESTABLECIMIENTO DEL INFORME DE AUDITORÍA
EL ORGANISMO DE CERTIFICACIÓN ES LIBRE DE
DEFINIR LOS TIPOS DE HALLAZGOS DE AUDITORIA.
ISO 28003 : 2007

9.2.4
CONCLUSIONES DE LA AUDITORIA INICIAL DE
CERTIFICACION
EL EQUIPO AUDITOR DEBE ANALIZAR TODA LA
INFORMACIÓN Y LAS EVIDENCIAS DE AUDITORÍA
OBTENIDAS DURANTE LAS AUDITORÍAS DE LAS
ETAPAS 1 Y 2, PARA REVISAR LOS HALLAZGOS DE
AUDITORÍAS Y ACORDAR LAS CONCLUSIONES DE LA
AUDITORÍA.
9.2.4.2
LA ETAPA 1 INFORME DE AUDITORÍA DEBERÁ
INCLUIR
• COMENTARIOS SOBRE LA IDONEIDAD DE LA
CADENA DE SUMINISTRO
• DE LA DOCUMENTACIÓN DEL SISTEMA DE
GESTIÓN DE LA SEGURIDAD,
• EL ANÁLISIS DEL DESEMPEÑO DE LA
ORGANIZACIÓN EN SEGURIDAD
• EL NIVEL DE IMPLANTACIÓN DEL SGSCS
• INDICAR SI LA EMPRESA ESTÁ LISTA PARA LA
ETAPA 2 DE LA AUDITORÍA.
ISO 28003 : 2007

9.2.4 CONCLUSIONES DE LA AUDITORIA INICIAL DE
CERTIFICACION
9.2.4.4
A) IDENTIFICACIÓN DEL CLIENTE DE AUDITORÍA;
B) LA IDENTIFICACIÓN DE LOS REPRESENTANTES DE
LA ENTIDAD AUDITADA;
C) IDENT I F ICACIÓN DEL ORGANISMO DE
CERTIFICACIÓN;
D) LA IDENTIFICACIÓN DEL LÍDER DEL EQUIPO
AUDITOR Y DE LOS MIEMBROS,
E) LOS OBJETIVOS DE LA AUDITORÍA;
F ) E L A L C A N C E D E L A A U D I T O R Í A ,
PARTICULARMENTE LA IDENTIFICACIÓN DE LAS
UNIDADES ORGANIZACIONALES Y FUNCIONALES O
LOS PROCESOS AUDITADOS, EL PERÍODO DE TIEMPO
CUBIERTO Y EVALUARON LOS ELEMENTOS DE LA
CADENA DE SUMINISTRO;
G) LOS CRITERIOS DE AUDITORÍA;
H) LA REFERENCIA A LOS ESTÁNDARES DE LA
CADENA DE SUMINISTRO DE GESTIÓN DE
SEGURIDAD Y / U OTROS DOCUMENTOS
NORMATIVOS DE REFERENCIA UTILIZADO;
I) LAS FECHAS Y LUGARES EN QUE LAS ACTIVIDADES
DE AUDITORÍA IN SITU SE LLEVARON A CABO Y LA
FECHA DE LA AUDITORÍA ANTERIOR;
J AUDITORÍA SOBRE EL ESTADO DE LA
CERTIFICACIÓN.
ISO 28003 : 2007

9.2.4 CONCLUSIONES DE LA AUDITORIA INICIAL DE
CERTIFICACION
9.2.4.4
J) LOS HALLAZGOS DE LA AUDITORÍA:
1) RESUMEN DE LAS OBSERVACIONES MÁS
IMPORTANTES, POSITIVOS Y NEGATIVOS,
2) APLICACIÓN Y EFICACIA DE LA METODOLOGÍA DE
EVALUACIÓN DE RIESGOS;
3) NO CONFORMIDADES
4) INFORME SOBRE EL TRATAMIENTO DE NO
CONFORMIDADES;
K) LAS CONCLUSIONES DE LA AUDITORÍA:
1) EL GRADO DE CONFIANZA DEL SGSCS Y LA
EVALUACION DE RIESGOS
2) LAS RECOMENDACIONES DEL EQUIPO DE
AUDITORÍA SOBRE EL ESTADO DE LA CERTIFICACIÓN.
9.2.4.6
LA PROPIEDAD Y EL DERECHO A MODIFICAR LOS
INFORMES CORRESPONDE AL ORGANISMO DE
CERTIFICACIÓN.
ISO 28003 : 2007

9.2.5
INFORMACION PARA EL OTORGAMIENTO INICIAL DE LA
CERTIFICACION
9.2.5.1
EL EQUIPO AUDITOR DEBE PASAR AL OC
a) LOS INFORMES DE AUDITORÍA;
b) LOS COMENTARIOS SOBRE LAS NO CONFORMIDADES Y,
CUANDO CORRESPONDA, LAS CORRECCIONES Y
ACCIONES CORRECTIVAS LLEVADAS A CABO POR EL
CLIENTE;
c) L A C O N F I R M A C I Ó N DE L A I N F O R M A C I Ó N
PROPORCIONADA AL ORGANISMO DE CERTIFICACIÓN Y
UTILIZADA PARA LA REVISIÓN DE LA SOLICITUD, Y
d) LA RECOMENDACIÓN DE OTORGAR O NO LA
CERTIFICACIÓN, JUNTO CON CUALQUIER CONDICIÓN U
OBSERVACIÓN.
9.2.5.2
EL OC TOMA LA DECISIÓN DE CERTIFICAR BASÁNDOSE EN
UNA EVALUACIÓN DE LOS HALLAZGOS Y CONCLUSIONES DE
LA AUDITORÍA Y CUALQUIER OTRA INFORMACIÓN
PERTINENTE
9.2.6.3
MIEMBROS DEL COMITÉ DE CERTIFICACION SIN CONFLICTO
DE INTERESES CON EL EQUIPO AUDITOR
ISO 28003 : 2007

ISO 28003 : 2007

ISO 28003 2007

ISO 28003 2007

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente(20)

Destacado

Destacado(7)

Similar a ISO 28003 2007

Similar a ISO 28003 2007(20)

Más de CONSULTORES & AUDITORES EN GESTION S.A.S

Más de CONSULTORES & AUDITORES EN GESTION S.A.S(20)

Último

Último(19)

ISO 28003 2007