Informacion General

  • No. De Documento

  • Título de la Auditoria

  • Cliente / Localidad

  • Fecha de Auditoría

  • Equipo Auditor

  • Location
  • Personal de la Empresa

Auditoria

PREVIO A LA AUDITORIA.

  • Se reviso el Plan de Auditoria.

  • Cuenta la empresa con alguna otra certificación?

  • Existen consultores / obeservadores presentes por parte de la empresa?

  • Se encuentran todos los responsable de los procesos presentes? Algún sustituto?

  • Tipo de auditoria?

  • Pre-Auditria

  • Certificación

  • Re-Certificación

  • De Control

  • Documental

  • Complementaria

  • La organización cuenta con un Manual de Seguridad para BASC?

  • Contempla todos los puntos de la norma y del estandar v.4?

  • Define el alcance y exclusiones del SGCS?

  • Se evidencia el enfoque a procesos en el SGCS?

  • Relaciona los procesos, políticas y registros al punto tratado?

SISTEMA DE GESTIÓN CyS BASC V.4

Generalidades

  • ¿Existe un diagnóstico o revisión inicial del estado de la organización que permita medir el avance de la implementación y en el mantenimiento del sistema de gestión?

  • 4.1. ¿La empresa ha identificado los procesos que realiza, mediante la metodología de mapeo y caracterización de procesos (ver entradas, salidas, indicadores de medición, requisitos a cumplir, documentos a utilizar y responsables del proceso)?

  • 4.2. Existe una politica de seguridad definida, comunicada y publicada?

  • 4.3.2. Existen objetivos para el SGCS establecidos y revisados.

  • Son los objetivos coherentes con respecto a la empresa y sus funciones?

  • Evidencian el cumplimiento de la política de CyS a través de los indicadores de gestión

  • Los objetivos están relacionados con la mejora continua del sistema? 4.6.1

  • 4.3.3. La empresa tiene un procedimiento de gestion de riesgos?

  • Contempla la determinación del contexto?

  • Explica cómo realizan la identificación, análisis y evaluación ?

  • Contempla el tratamiento y monitoreo de los riesgos ?

  • Establece una revisión anual mínima? O cuando se identifiquen nuevas amenazas?

  • Existe una matriz, con plan de accion y estudio?

  • Existen planes operacionales para implementar medidas de control de los riesgos identificados?

  • 4.3.4. Existe un procedimiento documentado para identificar los requisitos legales?

  • Solicitar listado de requisitos y verificar si están vigentes.

  • 4.3.5. Verificar Previsiones con el fin de cubrir: planes,objetivos y controles operacionales, conocimiento y habilidades en CyS para apoyar la mejora continua.

Implementación y Operación

  • 4.4.1. Existe un representante de la dirección claramente identificado?

  • El personal es responsable del CyS de los procesos a su cargo? Son conscientes de la influencia que su accion e inaccion pueda tener sobre la efectividad del SGCS?

  • Tiene documentada e identificadas las responsabilidades, funciones y autoridad del personal que afecta la seguridad de la organización?

  • Solicitar el análisis de criticadas del recurso humano, producto de la gestión de riesgo de la cadena de suministro.

  • 4.4.2. Se tiene un programa de sensibilizacion y entrenamiento?

  • Como determina la organización las competencias requeridas de su personal?

  • Contempla en los programas de capacitaciones las debilidades o riesgos identificados?

  • 4.4.3. Existe procedimientos y condiciones para mantener una comunicacion abierta y efectiva? Se logra el compromiso de los empleados?

  • Existe un procedimiento o buzón para notificar debilidades en el SGCS?

  • 4.4.5. Existe un procedimiento documentado de control de documentos?

  • Incluye listado maestro de documentos del sistema?

  • Están los documentos debidamente identificados y aprobados?

  • Pueden ser localizados oportunamente?

  • Contempla la revisión periódica y actualización?

  • Se controlan los documentos de origen externo?

  • ¿Se dispone de copias de respaldo de información sensible de la organización? ¿Hay una fuera de las instalaciones?

  • El control operacional se encuentra totalmente integrado en la organizacion?

  • 4.4.7. Existe un procedimiento escrito para identificar y responder ante situaciones criticas?

  • Identifica las amenazas y vulnerabilidades y ofrece respuestas para cada una?

  • Se toman medidas para mitigar el riesgo?

  • ¿Está documentado y aplicado un procedimiento para la realización de ejercicios prácticos y simulacros de los planes de protección? Ver evidencia

  • Existe evidencia del ultimo ejercicio?

  • Prueban la eficacia de las medidas de protección? Y de respuesta a este tipo de eventos?

  • Se verificaron los elementos des sistema relacionados a la falla?

  • Están contempladas en al gestión de riesgos?

Verificación

  • 4.5.1. Existe un procedimiento de seguimiento y medición?

  • Se tienen metricas e indicadores proactivos y reactivos? Cada que tiempo se miden?

  • Se establecen planes para mitigar los indicadores por debajo de lo establecido?

  • Existen evidencias?

  • 4.5.2 Ver procedimiento de auditoria interna. La empresas elabora un programa de auditoria de acuerdo a la madurez del sistema?

  • Contempla todos los Elementos del SGCS? Norma / Estandar / otros de la organización.

  • Esta contemplado el proceso mínimo una vez al año?

  • Verificar resultados de auditorias internas y externas anteriores

  • Son los auditores competentes y formados por instructores de BASC? Manejan los resultados de las auditorias? Están actualizados en la norma vigente?

Mejoramiento Continuo del SGCS

  • 4.6.2. Esta establecido y mantenido un procedimiento de acciones correctivas?

  • Verificar que todas esten presentes (auditoria anterior, auditoria interna)

  • Identificar causa raiz

  • Identificar medidas pertinentes

  • Registran las decisiones y planes para la acciones?

  • Establecen fechas y responsable?

  • Verifican la eficacia de la acción?

  • 4.5.3 Son los registros legibles, identificales y rastreables en el proceso de auditoria?

  • Existe procedimiento documentado par la identificación, mantenimiento, entrega, control y archivo de estos registros?

  • Existe un listado maestro de registros del Scgs?

  • Se tienen en cuenta la conservación de estos registros con respecto a la legislación local y/o políticas de la empresa ?

  • 4.6.3. Ver revision por parte de la gerencia. Debe contemplar:

  • Desempeño global del sistema?

  • Desempeño individual de los procesos del SGCS

  • Resultados de las auditorias. internas y Externas

  • Acciones correctiva y preventivas y de mejora

  • Cambios que puedan afectar el SGCS

  • Resultados de la gestión de riesgos. Indicadores y demás.

  • Revisiones anteriores.

  • Toma de decisiones y asignaciones de recursos para los planes.

ESTÁNDAR V4: Servicios de Vigilancia y Seguridad Privada

ASOCIADOS DE NEGOCIO

  • Existe un procedimientos documentados y verificables de selección de asociados de negocio (clientes/proveedores) y terceras partes vinculadas en la cadena de suministro?

Procedimientos de Seguridad

  • Disponen de la documentación que valide los asociados BASC?

  • Contemplan la evaluación de los asociados? indicadores de seguridad (legitimidad del negocio, riesgo en seguridad)?

  • Las evaluaciones identifican factores de riesgos ?

  • Se contempló el tratamiento del riesgo de acuerdo a los resultados de la evaluación.

  • Existen acuerdos escritos que garanticen el cumplimiento de los procedimientos de seguridad? Con los asociados NO BASC.

  • Se verifica si los procedimientos de seguridad implementados por los AN no BASC, basados en un proceso documentos o de gestión de riesgo?

  • Verifica si el AN participa en programas de seguridad reconocidos internacionalmente?

Otros criterios internos para la selección.

  • Verifican el cumplimiento de los acuerdos de seguridad por los prestadores de servicios y terceras partes involucradas? Aun siendo estos subcontratados.

  • Verificar cías de transporte.

  • Luego de la evaluación de riesgo del asociado de negocio, debería verificar:

  • Solidez financiera

  • Existencia legal

  • Capacidad de cumplimiento de requisitos contractuales

  • Capacidad para identificar y solucionar deficiencias de seguridad

Prevención de Lavado de Activos

  • El procedimiento contempla criterios de prevención contra el lavado de activos y financiamiento del terrorismo?

  • Identidad y legalidad de la empresa y sus socios

  • Antecedentes legales penales y financieros

  • Monitoreo de sus operaciones. Actividad económica, características de sus operaciones con otros clientes, cumplimiento de contratos, antigüedad en el mercado.

  • Reporte oportuno a las autoridades competentes cuando se identifique operaciones sospechosas?

  • El procedimiento contempla Ia dentificación de acciones sospechosas. <br>A) origen y destino de la operación del comercio internacional<br>B) frecuencia de las operaciones<br>C) valor tipo de mercancías<br>D) modalidad de la operación del transporte. <br>E) forma de pago de la transacción <br>F) inconsistencia en la información proporcionada <br>G) requerimiento fuera de lo normal

SEGURIDAD DEL CONTENEDOR Y LA CARGA

  • La empresa de seguridad brinda servicios de seguridad del contenedor y la carga?

  • Informa a sus asociados de negocios respecto a la importancia de contar con procedimientos de seguridad para mantener la integridad de contenedores y la carga?

  • Recomienda la inspección en 7 puntos de contenedores vacíos

  • Recomienda el proceso de revisión de 17 puntos para furgones y camiones?

  • Tienen las competencias necesarios para inspeccionar contenedores y carga el personal asignado en las instalaciones de clientes vinculados a la cadena de suministro internacional?

  • Solicitar evidencia de entrenamientos

  • Verificar Asociado de Negocios

Sellos del contenedor / ULD

  • Recomienda a sus AN y conocen Los Procedimientos para reconocer y reportar oportunamente cuando los sellos han sido comprometidos?

  • Recomiendan a sus AN que el sello cumpla con la norma ISO 17712?

CONTROL DE ACCESO FÍSICO

  • Existe un procedimiento de control de acceso?

  • ¿Se identifica positivamente a los empleados, proveedores,vendedores y visitantes en todos los puntos de entrada con acceso restringido?

  • Se controla el acceso de los empleados solo aquellas áreas donde desempeñan sus funciones?

  • Se basa en la gestión de riesgos?

  • El procedimiento contempla la entrega, devolución y cambio de dispositivos de acceso como tarjetas de identificación, llaves, tarjetas de proximidad, etc?

  • Contempla que los visitantes, vendedores, proveedores y contratistas:

  • Deben colocar la identificación o carnet en un lugar visible

  • Deben presentar un documento y con fotografía?

  • ¿Cómo controlan adecuadamente la entrega y devolución de los carnets de identificación de visitantes,vendedores, proveedores y contratistas?

  • Realizan control del visitantes, vendedores, proveedores y contratistas mientras esta dentro de las instalaciones?

  • Deberían ser acompañados

  • ¿Se revisa a los empleados, proveedores y visitantes?

  • Se verifican los Correos y paquetes recibidos?

Identificación y Retiro de Personas No Autorizadas

  • ¿Existen procedimientos establecidos para identificar, dirigirse y retirar personas no autorizadas o no identificadas?

  • Establece medidas para desalentar el ingreso no autorizado? Capacitaciones ?

  • Restringen el área de transporte o armas?

  • Refuerzan la obligación de los empleados de notificar cualquier actividad sospechosa?

  • Tiene los medios para notificar a las autoridades si se encuentran individuos que aparentan ser polizones?

  • 3.5.1. Cuenta con personal de seguridad controlando las puertas y controles de acceso de sus instalaciones?

SEGURIDAD DEL PERSONAL

Verificación Preliminar al Empleo

  • ¿Existen procedimientos documentados para evaluar los candidatos con posibilidades a ser contratados?

  • ¿Se verifica la información en la solicitud de empleo y referencias laborales?

  • Se verifican e investigan los antecedentes personales de los candidatos?

  • ¿Se realizan visitas domiciliarias al personal crítico?

  • Verificar que se realice antes durante el reclutamiento.

  • Verificar programa de actualización. Mínimo cada 2 años

  • ¿Se realizan pruebas de alcohol y drogas al personal crítico antes de la contratación, aleatoriamente y bajo sospechas justificables?

  • Se realiza aleatoriamente en un periodo de 2 años?

Verificación y Mantenimiento después de la contratación

  • Mantiene un listado actualizado de empleados propios y subcontratados con los datos personales de mayor relevancia?

  • Se actualizan los datos básicos de los empleados mínimo una vez al año?

  • Se considera una recurrencia mayor para los críticos?

  • ¿Se realizan y mantienen actualizados registros de afiliación a instituciones de seguridad social y demás registros laborales?

  • ¿Se cuenta con un programa de concienciación sobre consumo de alcohol y drogas que incluya avisos visibles y material de lectura.

  • ¿Se dispone de un archivo fotográfico, huellas dactilares y firma?

  • Cuentan con programa de concienciación sobre adicciones al alcohol, drogas, juegos de azar y otras acciones?

  • ¿Se controla adecuadamente la entrega y devolución de uniformes de trabajo?

  • Verificar inventario y expedientes de empleados y ex-empleados.

  • Que hacen con las identificaciones en los uniformes?

Procedimiento de Terminación de Vinculación Laboral

  • ¿Se cuenta con procedimientos para retirar la identificación y eliminar el acceso a las instalaciones y sistemas para los empleados de la empresa?

PROCEDIMIENTOS DE SEGURIDAD

  • La empresa brinda servicios a AN que participan en actividades de comercio internacional?

  • La empresa brinda servicios de escolta de carga?

  • La empresa cuenta con procedimientos documentados que establezcan las medidas de seguridad para asegurar la integridad de los procesos relevantes al servicio prestado en la cadena de suministro de AN que participan en el comercio exterior?

  • Incluyendo al competencia y confiabilidad del personal asignado

Manejo y procesamiento de información y documentos de carga

  • La empresa se asegura de garantizar la coherencia de la información en los registros de control de acceso y en la documentación del control de la carga cuando se realiza proceso de escolta de mercancía?

  • Los registros deben incluir: hora de salida, llegada, tipo de carga y control de ruta

  • Debe asegurar que la información utilizada para liberar la mercancía sea legible, completa, exacta y protegida contra modificaciones

  • Existe política de firma y sellos que autoricen diferentes procesos de la organización?

  • Verificar registros y actualización.

  • Verifican que la documentación este completa y clara en cada uno de los despachos de importación y/o exportación, y que coincida con los manifiestos físicos, unidades de transporta eh sellos de seguridad ?

Entrega y recepción de carga

  • Debe verificar con exactitud la carga que llega contra la información del manifiesto

  • Debe describirse con exactitud, indicando cantidad, peso, etiquetas, marcas, frente a los documentos de carga

  • Debe compararse las órdenes de compra o de entrega frente a la carga.

  • Se identifican a los conductores antes de la entrega o recibo de mercancía?

  • Cuentan con procedimientos y/o algún método para la trazabillidad oportuna de la carga en el servicio de carga escoltada?

  • Debería existir un registro fotográfico o fílmico antes, durante y después del proceso de carga o descargue.

Discrepancias en la carga

  • Han investigado TODOS los casos de discrepancias o anomalías en la carga? han sido resueltos?

  • Solicitar pruebas.

  • Contemplan los procedimientos como notificar oportunamente a las autoridades competentes en caso de anomalías o actividades ilegales o sospechosas en la carga?

  • La empresa debe asegurarse que su cliente ,importador o exportador realice los reportes correspondientes cuando sea apropiado

SEGURIDAD FÍSICA

  • Deben tener barreras físicas, elementos de disuasión y medidas preventivas contra el acceso no autorizado las instalaciones donde se maneje documentación e información crítica, almacenaje de elementos vitales para la prestación desérticos de carga, tales como equipos de comunicación, armamento y otros medios electrónicos

  • Verificar almacén de armas y controles establecidos

Seguridad del Perímetro

  • 6.1.1. Cuenta con cerramiento perímetro las arañas de manejo y almacenaje de equipos, armas y elementos para la presentación de servicios.

  • Utilizan cerca o barreras interiores para encerrar las áreas alrededor de las instalaciones de la empresa de Vigilancia y Seguridad Privada.

  • Inspeccionan periódicamente todas las cercas y barreras para verificar su integridad e identificar daños?

Puertas y casetas

  • Están controladas, monitoreadas y supervisadas las puertas de entrada y salida de vehículos y de personal?

  • Mantienen al mínimo necesario la cantidad de puertas habilitadas para entradas y salidas?

Estacionamiento de vehículos

  • DeberíanLos estacionamientos de vehículos privados (empleados, visitantes, ,proveedores y contratistas) estár alejados de las áreas identificadas como críticas.

Estructura de los Edificios

  • Están las instalaciones construidas con materiales que resistan la entrada forzada o ilegal.

  • Realizan inspecciones y reparaciones periódicas para mantener la integridad de la estructura de los edificios.

Control de cerraduras y llaves

  • Las ventanas, puertas y cercas en las áreas criticas están controladas y cuentan con mecanismos de cierre?

  • Tienen control sobre las cerraduras, llaves y claves de acceso?

  • Verificar inventario.

  • Los edificios de oficinas tienen restricciones de horarios para el acceso limitado?

Iluminación

  • Existe adecuada iluminación dentro y fuera de la instalación.

  • Entrada y salida

  • Barreras perimetrales

  • Áreas de estacionamiento

Sistemas de Alarmas y Videocámaras de Vigilancia

  • 6.7.1. Consideraron el uso de seguridad electrónica en su evaluación de riesgos?

  • Utilizan sistemas de alarma y cámaras de vigilancia para supervisar y monitorear las instalaciones y prevenir el acceso no autorizado en áreas criticas.

  • CCTV: ¿Se utilizan videocámaras de vigilancia? ¿Graban correctamente? VER MUESTRAS

  • Deben los dispositivos de alarma estar visibles y los auditivos ser escuchados en la totalidad del lugar.

Otros criterios de seguridad.

  • Existe un jefe de seguridad con funciones claras y documentadas?

  • Disponen de un plano con las áreas sensibles de las instalaciones?

  • Están debidamente controladas las áreas de lockers de empleados?

  • Cuentan con un servicio de seguridad competente? Propio o subcontratado?

  • Certificado Basc?

  • Cuentan con un sistema de comunicación adecuado para sus supervisores y encargados de seguridad? Permite la comunicación oportuna con las autoridades locales e internacionales?

  • Deben garantizar una acción de respuesta oportuna y disponible por parte del personal de seguridad durante 24 horas al día.

  • Existen procedimientos documentados y dispositivos de alerta, acción y evacuación para casos de amenazas o fallos en las medidas de protección?

7. SEGURIDAD EN LAS TECNOLOGÍAS DE INFORMACIÓN

  • ¿Se asignan cuentas individuales que exigen cambio periódico de contraseña?

  • tiene establecido políticas, procedimientos y normas de tecnología de información?

  • Son dadas a conocer mediante capacitaciones?

Responsabilidad

  • Tienen protección contra el acceso no autorizado incluido para la documentación y la información en los equipos de computo?

  • Tiene la empresa medios de vertificación en los sistemas informáticos para detectar accesos no autorizados,manipulación indebida o alteración de los datos del negocio?

  • Cuentan con medidas disciplinarias para los infractores del sistema de seguridad?

  • Están incluidas en las capacitaciones?

  • Supervisan los contratistas, técnicos o programadores externos que trabajan en los sistemas de la organización ?

  • Cuentan con algún mecanismo de copia de seguridad de la información sensible de la organización FUERA de sus instalaciones?

Protección a los sistemas de datos

  • La empresa cuenta con software de anti-virus y anti-espía instalados y mantenidos?

  • Algún programa adicional para estos fines?

  • Observan el cumplimiento de las disposiciones y normas relativas a la propiedad intelectual?

ENTRENAMIENTO DE SEGURIDAD Y CONCIENCIACIÓN SOBRE AMENAZAS

  • Cuentan con un programa de capacitación anual?

  • Incluye todo el personal para hacerlos reconocer y reportar la amenazas y vulnerabilidades en la cadena de suministro?

  • El programa incluye entrenamientos para dar a conocer a los empleados como identificar y reportar una actividad sospechosa?

  • Incluye capacitaciones para el personal que labora en las áreas de envío y recepción de la carga y/o correspondencia?

  • Incluyen capacitaciones para conspiraciones internas y protección de controles de acceso?

  • Disponen de empleados con competencias necesarias para implementar y mantener el SGCS de BASC?

  • Ofrecen incentivos por la participación activa de los empleados en el SGCS BASC.

Conclusiones

  • Aspectos a Mejorar del SGCS en general ?

  • Fortalezas?

Hallazgos de la Audiroría

  • NC Mayores

  • NC menores

  • Observaciones

  • Conclusión del auditor

  • Recomendaciones u observaciones finales del auditor al capítulo?

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.