Nombre: Erika Tatiana Pachon Gómez

Programa y plan de auditoría

Programa de auditoria

a) Los objetivos organizacionales:

 Incorporar un sistema de calidad en la empresa para mejorar la competitividad
 Obtener y mantener la confianza en la capacidad de optimizar la gestión del
cambio
 Identificar las oportunidades para la mejora del sistema de gestión y de su
desempeño
 Convertir la empresa en una organización que sea capaz de reaccionar con
rapidez a los cambios continuos en el mercado
 Cumplir todos los requisitos pertinentes, por ejemplo, los requisitos legales, los
compromisos de cumplimiento y los requisitos de certificación con una norma
de sistemas de gestión
b) Las cuestiones externas e internas pertinentes
 Las cuestiones externas son:
 Factores tecnológicos ya sean tecnologías, materiales y equipos nuevos,
el vencimiento de patentes y el código ético profesional
 Factores de mercado como la competencia, incluyendo las tendencias del
líder de mercado, las tendencias de crecimiento de clientes y la
estabilidad del mercado
 Las cuestiones internas son:
 Factores de recursos como el conocimiento organizacional
 Factores en aspectos humanos como la competencia de las personas, el
comportamiento y la cultura organizacional
c) Las necesidades y expectativas de las partes interesadas pertinentes
 Necesidades:
 Necesidad de satisfacer las necesidades de uso del producto
 Necesidad de cumplimiento de los requisitos
 Necesidad de información adecuada para establecer los productos y
servicios de manera conforme
 Necesidad de cumplimiento de los requisitos legales que regulan el
mercado
 Necesidad de una competencia leal
 Expectativas:
 Expectativa de una capacidad de respuesta y una atención al cliente
adecuadas
 Expectativa de disponer de unos canales de comunicación y
sensibilización eficientes
 Expectativa de disponer de unos horarios y plazos de entrega que
faciliten las entregas.
 Expectativa de obtener la rentabilidad económica
  Expectativa de crecimiento de la organización

d) Los requisitos de seguridad y confidencialidad de la información

 Cualquier incidente de seguridad de la información que afecte a la empresa o

que involucre la información de la organización debe ser reportado
inmediatamente al supervisor
 Si se va a remitir información a los clientes que sea de carácter privado mediante
el correo electrónico, ésta deberá estar cifrada
 Requisito de protección que controla el acceso de información
 Implementar controles de seguridad para la información privada, que se maneja
en los equipos y redes
 Velar por que la información gestionada de la empresa esté libre de software
malicioso
 Implementar procedimientos que permitan verificar que las versiones de los
programas del ambiente de producción corresponden a las versiones de
programas fuentes catalogadas
 Mantener documentada y actualizada, al menos, la siguiente información:
parámetros de los sistemas donde operan los proyectos en producción, incluido
el ambiente de comunicaciones, versión de los programas y aplicativos en uso.
 Cuando se necesite tomar copias de la información de los usuarios para la
realización de pruebas, se deberán establecer los controles necesarios para
garantizar su destrucción, una vez concluidas las mismas.
e) Objetivos para el programa de auditoría
 Plantear una metodología para realizar la auditoria con el fin de verificar si el
sistema de gestión de calidad se está ejecutando adecuadamente
 Asegurar el control de cumplimiento de las actividades de la empresa
 Evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y
para identificar e implementar acciones eficaces para abordarlos
 Evaluar el proceso de acciones correctivas, su estado,seguimiento,eficacia y
mejora

f) Riesgos y oportunidades asociadas al programa de auditoría y las acciones para

abordarlas

 Riesgos:
 La cantidad de auditores no es suficiente para el numero de auditorias en
el programa no se podrían realizar algunas auditorias la acción para
mitigar es subcontratar auditores externos
 La complejidad de los procesos del auditado esta fuera del alcance de las
competencias de los auditores la acción para abordarla es contratar un
experto técnico externo
  Algunas personas clave de los procesos no estarán en las fechas
programadas para evitar esto se modificarán fechas de auditoria en
acuerdo con el auditado
 Oportunidades:
 Optimizar la formación utilizan nuevos métodos de capacitación, rapidez
de aprendizaje
 Fortalecer la seguridad de la información empleando métodos
informáticos para asegurar la privacidad de la información
 Sobre la confidencialidad de la información del cliente de la auditoria

g) Alcance de cada auditoría dentro del programa de auditoría

h) Desde la planificación, programación, ejecución y documentación, así como el
i) seguimiento a las acciones correctivas y preventivas que resulten de las auditorías
j) internas del cumplimiento de la gestión y sistema de gestión de la calidad en la
k) empresa CONSTRUCCIONES COMERCIALES DEL VALLE S.A.S en el periodo
l) fiscal vigente

Auditar desde la planificación, programación, ejecución y documentación, así como el

seguimiento a las acciones correctivas y preventivas que resulten del cumplimiento del
sistema de gestión de la calidad en la empresa LEXURY

m) Calendario de las auditorías

NOVIEMBRE 2022
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2
ACTIVIDAD 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9
Elaborar el programa
de auditoria
Elaborar el plan de
auditoria
Preparar la auditoria
Realizar reunión de
apertura
Recolección de
información
Preparar
conclusiones de la
auditoria
Ejecutar reunión de
cierre
Informe de auditoria
Distribuir el informe
y socialización

n) Tipos de auditoría
  Auditoría del sistema de información esta auditoría ayuda a determinar los
problemas de software que pueden provocar ciberataques y fugas de datos. Las
auditorías de los sistemas de información también garantizan que el
procesamiento de datos y los sistemas informáticos sean lo suficientemente
eficaces para la empresa
 Auditoría interna este tipo de auditoría se realiza dentro de la organización
proporciona visibilidad sobre las finanzas actuales y se realizan para comprobar
si se cumplen los objetivos financieros y si la empresa cumple la normativa
 Auditoría externa en esta auditoria el auditor no debe tener ninguna relación con
la empresa. Estos auditores externos siguen las normas de auditoría
generalmente aceptadas y generan informes de auditoría que incluyen los
procesos de auditoría y la información obtenida
 Auditoría operativa este tipo de auditoría evalúa las operaciones empresariales,
como la alineación de los objetivos de la empresa, los procesos de planificación,
los procedimientos y el rendimiento operativo. Los resultados de una auditoría
operativa se utilizan para mejorar la empresa

o) Criterios de auditoría

PROVEEDOR ENTRADAS ACTIVIDADES SALIDAS CLIENTE RESPONSAB

LE
 Alta  Programa  Elaborar  Evidencia  Alta  Jefe
gerencia de el s de la Gerencia de
 Dependen auditoria programa auditoria  Procesos contro
cias de la  Plan de de  Hallazgos de la l
entidad auditoria auditoria  Acciones entidad intern
 Organism  Procesos  Elaborar correctiva Organis o
os de de la el plan de s y mos de  Líder
control entidad auditoria preventiva control grupo
 Planes de  Preparar s audito
mejorami la  Informes r
ento auditoria de
vigentes  Realizar auditoria
 Auditorias reunión  Planes de
Anteriores de mejorami
apertura ento
 Recolecc
ión de la
informaci
ón
 Preparar
conclusio
nes de la
auditoria
 Ejecutar
reunión
de cierre
 Realizar
el
informe
de
 auditoria
 Distribuir
el
informe

p) Métodos de auditoría a utilizar

 Método deductivo consiste en derivar aspectos particulares de lo general, leyes,

teorías, normas, en otras palabras es ir de lo universal a lo específico o particular
para aplicar este método a la auditoria se necesita:
 Formular los objetivos generales o específicos
 Declarar las normas de auditoria generalmente aceptadas
 Tener un conjunto de procedimientos para guiar el proceso

q) Criterios para seleccionar los miembros del equipo auditor

Las personas responsables de gestionar el programa deberían designar los miembros del
equipo auditor, incluyendo el líder del equipo y cualquier experto técnico que sea
necesario para la auditoría especifica.
Un equipo auditor (grupo de auditores) debería ser seleccionado, tomando en
consideración la competencia requerida para el logro de los objetivos de la auditoría
individual dentro del alcance definido. Si hay solo un auditor, el auditor debería
desempeñar todas las tareas aplicables de líder del equipo auditor.
En la decisión del tamaño y composición del equipo auditor en la empresa LEXURY ,
se le debe dar consideración a los siguientes aspectos:

 Conocimiento de NTC ISO 9001:2015 – Requisitos del sistema de gestión de

calidad.
 Conocimiento de Sistema de gestión de seguridad de la información ISO 27001.
 Conocimiento de Sistema de gestión Continuidad del negocio ISO 5722
 Conocimiento de GTC ISO 19011:2018 – Directrices para las auditorias de
sistemas de gestión. Principios de auditoria: integridad, presentación imparcial,
debido cuidado profesional, confidencialidad, independencia, enfoque basado en
evidencias y enfoque basado en riesgos.
 Conocimiento de ISO 9000: 2015 – Términos y definiciones de calidad,
 Conocimiento de ISO 9004: 2018 – Guía para alcanzar el éxito sostenido
 Conocimiento de 7 Principios del Sistema de gestión de calidad,
 Conocimiento de Características de los productos/servicios y procesos a auditar.
 Conocimiento de Requisitos legales, reglamentarios aplicables y otros requisitos
 Tener un ciclo de auditoria realizado como mínimo
 Tener experiencia como mínimo 1 año en auditorías internas.

r) Información documental pertinente

Documentos Registros
Manual de procedimientos  Plan de mejoramiento
  Lista de verificación
Manual de implementación  Programa de auditoria
 Formato de programa de
auditoria
Manual de competencias  Informes de auditorías
anteriores
 Formato de informe de
auditoria

Plan de auditoria
El plan de auditoría contiene lo siguiente:
A. OBJETIVO Y ALCANCE DE LA AUDITORIA
Organización EMPRESA LEXURY
Ubicación CRA 4 #8-49 Zipaquirá, Cundinamarca
Fecha 11 de noviembre de 2022
Auditor Líder Adrián Ortega Ramírez
Criterio/Estándar 27001:2013
Idioma de la auditoria Castellano
Objetivo de la auditoria Comprobar que la organización ha establecido,
implementado, y ha hecho seguimiento, revisión y mejoras en su
SGSI con el fin de verificar si se está ejecutando adecuadamente
Alcance de la auditoria Definir el cronograma de actividades a realizar para auditar el
desempeño del SGSI para el año 2022

Alcance: Auditar desde la planificación, Estándar:

programación, ejecución y documentación, NTC/ISO/27001:2013
así como el seguimiento a las acciones
correctivas y preventivas que resulten del
cumplimiento del sistema de gestión de la
organización
Objetivo: Verificar el cumplimiento de los Equipo auditor:
procesos frente a la norma ISO27001:2013 Adrián Ortega Ramírez
Laura Bolaños Daza
 Criterios y documentos de referencia:
Norma ISO 27001:2013 información
documentada de la organización
relacionada con el SGSI, Manual integrado Fecha:11 de noviembre
SGSI, Procedimientos, registros,entre otros

Confidencialidad: El Auditor declara que mantendrá la Confidencialidad de los documentos del

SGSI tales como manuales, procedimientos y registros así como de la información que durante
el desarrollo de la auditoria obtenga
Fecha Hora Auditor Área/Departamento Contacto clave
8:00 a.m. Adrián Ortega Reunión de apertura Director administrativo
del proceso
9:00 a.m. Adrián Ortega Contexto de la Coordinador SGSI
organización
11-11-2022 10:00 a.m. Laura Bolaños Verificación Coordinador SGSI
documental
11:00 a.m. Adrián Ortega Soluciones para Jefe de TI
abordar los riesgos
12:00 p.m. Laura Bolaños Almuerzo Jefe de TI
1:00 p.m. Adrián Ortega Comunicación de la Jefe de TI
política de calidad
2:00 p.m. Laura Bolaños Revisión por la Jefe de TI
dirección
11-11-2022
3:00 p.m. Adrián Ortega Reunión de Jefe de TI
retroalimentación
4:00 p.m. Adrián Ortega Reunión de cierre Director administrativo