| 5. Requisitos generales |
|
| 5.1 Asuntos legales y contractuales |
|
| 5.1.1 Responsabilidad legal |
|
| El organismo de certificación debe ser una entidad legal, o una parte definida de una entidad legal, de manera que pueda ser considerado legalmente responsable de todas sus actividades de certificación. Se considera que un organismo de certificación gubernamental es una entidad legal basándose en su estatus gubernamental. |
|
| 5.1.2 Acuerdo de certificación |
|
| El organismo de certificación debe tener un acuerdo legalmente ejecutable para proporcionar actividades de certificación a su cliente. Además, cuando existan varias oficinas de un organismo de certificación o varias sedes de un cliente, el organismo de certificación debe asegurarse de que exista un acuerdo legalmente ejecutable, entre el organismo de certificación que otorga la certificación y emite un certificado, y todas las sedes cubiertas por el alcance de la certificación. El acuerdo debe definir claramente con qué norma(s) y/u otros documentos normativos se llevará a cabo la certificación. |
|
| 5.1.3 Responsabilidad por las decisiones de certificación |
|
| El organismo de certificación debe ser responsable de, y conservar la autoridad de sus decisiones concernientes a la certificación, incluyendo las de otorgar, mantener, renovar, ampliar, reducir, suspender y cancelar la certificación. |
|
| 5.2 Gestión de la imparcialidad |
|
| 5.2.1 La alta dirección del organismo de certificación debe ejercer sus actividades de certificación de sistemas de gestión de la seguridad para la cadena de suministro con total imparcialidad. El organismo de certificación debe tener una declaración, accesible al público, por la cual reconoce la importancia de la imparcialidad en la realización de sus actividades de certificación de sistemas de gestión de la seguridad para la cadena de suministro, gestiona los conflictos de interés y asegura la objetividad de sus actividades de certificación de sistemas de gestión de la seguridad para la cadena de suministro. |
|
| 5.2.2 El organismo de certificación debe identificar, analizar y documentar los posibles conflictos de intereses que surjan de otorgar la certificación, incluyendo cualquier conflicto proveniente de sus relaciones. Tener relaciones no implica necesariamente un conflicto de intereses para el organismo de certificación. Sin embargo, si una relación supone una amenaza a la imparcialidad, el organismo de certificación debe documentar y ser capaz de demostrar cómo elimina o minimiza dichas amenazas. Esta información debe estar disponible para el comité especificado en el apartado 6.2. La demostración debe cubrir todas las fuentes potenciales de conflicto de intereses identificadas, bien surjan del organismo de certificación o de las actividades de otras personas, organismos u organizaciones. |
|
| 5.2.3 Cuando una relación represente una amenaza inaceptable a la imparcialidad, tal como una filial que es propiedad exclusiva del organismo de certificación, que solicita la certificación a su casa matriz, no se debe proporcionar la certificación. |
|
| 5.2.4 Un organismo de certificación no debe certificar las actividades de certificación de sistemas de gestión de la seguridad para la cadena de suministro de otro organismo de certificación. |
|
| 5.2.5 El organismo de certificación y cualquier parte de la misma entidad legal no debe ofrecer ni proporcionar consultoría y/o evaluaciones de riesgo asociado en materia de sistemas de gestión de la seguridad para la cadena de suministro. Esto también aplica a aquella parte del gobierno identificada como organismo de certificación. |
|
| 5.2.6 El organismo de certificación y cualquier parte de la misma entidad legal no debe ofrecer ni proporcionar auditorías internas a sus clientes certificados. Esto también aplica a aquella parte del gobierno identificada como el organismo de certificación. |
|
| 5.2.7 El organismo de certificación no debe certificar el sistema de gestión de la seguridad para la cadena de suministro de un cliente que haya recibido una consultoría y/o evaluaciones de riesgo asociado en materia de sistemas de gestión de la seguridad para la cadena de suministro o auditorías internas cuando la relación entre la organización consultora y el organismo de certificación represente una amenaza inaceptable a la imparcialidad del organismo de certificación.
NOTA 1 Una de las maneras de reducir la amenaza a la imparcialidad hasta un nivel aceptable consiste en dejar pasar un periodo mínimo de dos años, después de finalizada la consultoría y/o evaluaciones de riesgo asociado del sistema de gestión de la seguridad para la cadena de suministro.
NOTA para 5.2.2 y 5.2.4 Una relación que amenace la imparcialidad del organismo de certificación puede basarse en factores tales como la propiedad, la estructura directiva, la gestión, el personal, los recursos compartidos, la situación financiera, los contratos, la comercialización y el pago de una comisión sobre las ventas u otro incentivo concerniente a nuevos clientes, etc.
NOTA para 5.2.6 y 5.2.7 Las auditorías internas en las que los auditores sugieren soluciones (a las no conformidades identificadas u oportunidades de mejora) se consideran una amenaza inaceptable a la imparcialidad. |
|
| 5.2.8 El organismo de certificación no debe contratar externamente las auditorías a organizaciones que presenten una amenaza inaceptable a la imparcialidad del organismo de certificación (véase el apartado 7.5).
NOTA Esta cláusula no aplica a las personas que se contratan como auditores, a las que se aplica el apartado 7.3 |
|
| 5.2.9 Las actividades del organismo de certificación no se deben comercializar como que están vinculadas con las actividades de organizaciones que brindan consultoría y/o evaluaciones de riesgo asociado en materia de sistemas de gestión de la seguridad para la cadena de suministro. El organismo de certificación debe actuar para corregir las declaraciones inapropiadas de una organización consultora, que indique o sugiera que la certificación sería más simple, fácil, rápida o menos onerosa si se recurriera al organismo de certificación. Un organismo de certificación no debe declarar o sugerir que la certificación sería más simple, fácil, rápida o menos onerosa si se recurriera a una determinada organización consultora. |
|
| 5.2.10 Para asegurarse de que no hay conflicto de intereses, el organismo de certificación no debe emplear personal que haya realizado una actividad de consultoría y/o evaluaciones de riesgo asociado al sistema de gestión de la seguridad para la cadena de suministro, incluidas las personas que actúan a nivel directivo, para participar en una auditoría o en actividades de certificación, si han tomado parte en actividades de consultoría dentro de los dos años posteriores a la finalización de la consultoría. |
|
| 5.2.11 El organismo de certificación debe tomar medidas para responder a cualquier amenaza a su imparcialidad que provenga de las acciones de otras personas, organismos u organizaciones. |
|
| 5.2.12 El personal del organismo de certificación, ya sea interno o externo, o los comités, que puedan influir en las actividades de certificación, deben actuar de manera imparcial y no deben permitir que las presiones comerciales, financieras u otras comprometan su imparcialidad. |
|
| 5.2.13 Los organismos de certificación deben solicitar a su personal, tanto interno como externo, que le revele cualquier situación de la que tengan conocimiento, que se pudiera presentar a dichas personas o al organismo de certificación como un conflicto de intereses. Los organismos de certificación deben utilizar dicha información como datos de entrada para identificar las amenazas a la imparcialidad que resultan de las actividades de dicho personal o de las organizaciones que los emplean, y no deben recurrir a dicho personal, ya sea interno o externo, salvo que puedan probar que no hay conflicto de intereses.
NOTA El hecho de que una organización emplee un auditor que haya suministrado consultoría y/o evaluaciones de riesgo asociado en sistemas de gestión de la seguridad para la cadena de suministro, dentro de los dos años posteriores a la finalización de la consultoría, se puede considerar como una alta amenaza a la imparcialidad. |
|
| 5.3 Responsabilidad legal y financiamiento |
|
| 5.3.1 El organismo de certificación debe poder demostrar que ha evaluado los riesgos resultantes de sus actividades de certificación y que ha tomado previsiones adecuadas (por ejemplo, un seguro o reservas) para cubrir las responsabilidades legales resultantes de sus operaciones en cada uno de sus campos de actividad y áreas geográficas en las que trabaja. |
|
| 5.3.2 El organismo de certificación debe evaluar sus finanzas y sus fuentes de ingresos y debe demostrar al comité especificado en el apartado 6.2 que las presiones comerciales, financieras u otras no comprometen su imparcialidad, tanto inicialmente como continuamente. |
|
| 6. Requisitos relativos a la estructura |
|
| 6.1 Estructura de la organización y la alta dirección |
|
| 6.1.1 La estructura del organismo de certificación debe ser tal que de confianza en sus certificaciones. |
|
| 6.1.2 El organismo de certificación debe identificar a la alta dirección (comité directivo, grupo de personas o persona) quien tiene la autoridad y responsabilidad total por cada uno de los puntos siguientes:
a) el desarrollo de políticas relativas al funcionamiento del organismo; |
|
| b) la supervisión de la implementación de las políticas y los procedimientos; |
|
| c) la supervisión de las finanzas del organismo; |
|
| d) la realización de auditorías y certificación, y la resolución de quejas; |
|
| e) las decisiones relativas a la certificación; |
|
| f) la delegación de autoridad en comités o personas, según el caso, para llevar a cabo en su nombre actividades definidas; |
|
| g) los acuerdos contractuales; |
|
| h) la provisión de recursos apropiados para las actividades de certificación. |
|
| 6.1.3 El organismo de certificación debe documentar la estructura de su organización, mostrando los deberes, las responsabilidades y la autoridad de la dirección y demás personal de certificación y de cualquier comité. Cuando el organismo de certificación es una parte definida de una entidad legal, la estructura debe incluir la autoridad jerárquica y la relación con las otras partes de la misma entidad legal. |
|
| 6.1.4 El organismo de certificación debe tener reglas formales para la designación, los términos de referencia y el funcionamiento de todos los comités involucrados en las actividades de certificación. |
|
| 6.2 Comité para la preservación de la imparcialidad |
|
| 6.2.1 La estructura del organismo de certificación debe preservar la imparcialidad de sus actividades y proporcionar un comité para:
a) ayudar a elaborar las políticas relativas a la imparcialidad de sus actividades de certificación; |
|
| b) contrarrestar toda tendencia de un organismo de certificación a permitir que consideraciones comerciales o de otro tipo impidan la prestación objetiva y coherente de las actividades de certificación; |
|
| c) asesorar sobre temas que afecten a la confianza en la certificación, incluida la transparencia y la percepción del público.
NOTA Otras tareas o deberes pueden ser asignados al comité, siempre que estas tareas o deberes adicionales no comprometan su papel esencial de asegurar la imparcialidad. |
|
| 6.2.2 La composición, los términos de referencia, los deberes, la autoridad, la competencia de los miembros y las responsabilidades de dicho comité deben documentarse formalmente y la alta dirección del organismo de certificación debe autorizarlos con el fin de garantizar:
a) la representación de un equilibrio de intereses, de manera que no predomine un interés único (se considera que el personal interno o externo, del organismo de certificación representa un único interés, y no debe predominar); |
|
| b) el acceso a toda la información necesaria para permitir al comité cumplir sus funciones (véanse también los apartados 5.2.2 y 5.3.2); |
|
| c) que, si la alta dirección del organismo de certificación no tiene en cuenta las recomendaciones de dicho comité, el comité tiene derecho a actuar de forma independiente (por ejemplo, informando a las autoridades, a los organismos de acreditación y a las partes interesadas). Al emprender una acción independiente, los comités deben respetar los requisitos de confidencialidad del apartado 8.5 relativos al cliente y al organismo de certificación.
NOTA Si bien este comité no puede representar todos los intereses, un organismo de certificación debería identificar e invitar a representantes de los intereses clave. Dichos intereses pueden incluir: los clientes del organismo de certificación, los clientes de las organizaciones cuyos sistemas de gestión de la seguridad para la cadena de suministro se han certificado, los representantes de las cámaras industriales, los representantes de organismos gubernamentales de reglamentación u otros servicios gubernamentales, o los representantes de organizaciones no gubernamentales, incluidas las organizaciones de consumidores. |
|
| 7. Requisitos relativos a los recursos |
|
| 7.1 Competencia de la dirección y del personal |
|
| 7.1.1 El organismo de certificación debe asegurar que todo el personal involucrado en la auditoría y la certificación de las empresas operadoras de cadenas de suministro son competentes para las funciones que realizan. |
|
| Ellos dispondrán de procesos para asegurar que el personal tenga el conocimiento adecuado, las habilidades y la experiencia relevante para los tipos de sistemas de gestión de la seguridad para la cadena de suministro y las áreas geográficas en las que trabaja. |
|
| Éste debe determinar la competencia requerida para cada área técnica (según corresponda para el esquema de certificación específico), y para cada función en la actividad de certificación. |
|
| Éste debe determinar los medios para demostrar la competencia antes de que se lleven a cabo funciones específicas. Deben mantenerse registros de la determinación. |
|
| 7.1.2 En la determinación de los requisitos de competencia para el personal que lleva a cabo la certificación, el organismo de certificación debe considerar las funciones asumidas por la dirección y el personal administrativo, además de aquellas que llevan a cabo directamente las actividades de auditoría y de certificación. |
|
| 7.1.3 El organismo de certificación debe tener acceso a la experiencia y al conocimiento técnico necesario para recibir asesoramiento sobre temas directamente vinculados a la certificación de las áreas técnicas, tipos de elementos de la seguridad para la cadena de suministro y áreas geográficas en las que trabaja. Tal asesoría puede ser proporcionada externamente o por el personal del organismo de certificación. |
|
| 7.2 Personal que interviene en las actividades de certificación |
|
| 7.2.1 El organismo de certificación debe emplear, en el marco de su propia organización, personal que tenga la competencia suficiente para gestionar el tipo y la gama de programas de auditoría y otros trabajos de certificación efectuados. |
|
| 7.2.2 El organismo de certificación debe asegurar que el personal asignado para llevar a cabo las auditorías de certificación de la seguridad para la cadena de suministro, así como expertos técnicos, por lo que éstos tienen contacto con información confidencial, se puede confiar para mantener la información confidencial obtenida durante el trabajo de verificación y que no crean un incumplimiento de seguridad. Ver 7.4. |
|
| 7.2.3 El personal asignado para llevar a cabo auditorías de sistemas de gestión de la seguridad para la cadena de suministro debe tener como mínimo los atributos personales, el conocimiento, las habilidades y la educación, como se describe en el capítulo 7.2, 7.3.1, 7.3.2 y 7.4 de la norma ISO 19011:2002 correspondiente que facilite la gestión de la seguridad para la cadena de suministro y análisis de riesgos. |
|
| 7.2.3.1 El auditor de gestión de la seguridad para la cadena de suministro debe tener competencias en análisis de riesgos, análisis de puntos críticos de control, metodologías de gestión de riesgos, y la confidencialidad de la información. Esto incluye pero no se limita a: |
|
| a) Comprender el requisito de la norma de gestión de la seguridad para la cadena de suministro o la especificación (por ejemplo, ISO/PAS 28000). |
|
| b) Entender el flujo de proceso de la cadena de suministro y el análisis de los puntos críticos de control, el conocimiento de los procesos y las prácticas pertinentes dentro de la cadena de suministro. |
|
| c) Identificación de amenazas:
– Comprensión de amenazas, tales como física, biológica, química, cibernética, y radiológica. |
|
| d) Evaluación y análisis de riesgos:
– Comprender los principios de la evaluación y análisis de riesgos. |
|
| e) Minimización de riesgos, mitigación y control:
– Comprender los principios de minimización de riesgos, mitigación y gestión.
– Conocimiento de las metodologías y tecnologías de seguridad, especialmente técnicas y medidas preventivas. |
|
f) Planificación y preparación de incidentes:
– Conocimiento del rol del gobierno y primeras respuestas.
– Conocimiento de los protocolos de comunicación de incidentes.
– Conocimiento de la mitigación de incidentes, respuesta y recuperación. |
|
| 7.2.3.2 Cada auditor de sistema de gestión de la seguridad para la cadena de suministro también debe haber completado satisfactoriamente el entrenamiento (véase el anexo C o equivalente) y ser capaz de demostrar competencia en la comprensión y aplicación de metodologías de seguridad y análisis de riesgos y de los principios de gestión y debe ser un auditor de sistema de gestión certificado. |
|
| 7.2.3.3 Cada auditor de sistema de gestión de la seguridad para la cadena de suministro debe seguir una formación continua adecuada de acuerdo con sus necesidades específicas de calificación. Los organismos de certificación deben revisar anualmente un plan de formación dirigido a sus auditores sobre metodologías de seguridad, análisis de riesgos y de los principios de gestión, análisis de puntos críticos de control, técnicas de auditoría, y en particular sobre los temas de competencia mencionadas en 7.2.3.1 anterior. Esta formación debe |
|
| a) planificarse como el resultado de un análisis de las necesidades en los temas y elementos de competencia dados anteriormente; |
|
| b) ser registrada; |
|
| c) incluir casos de estudio de auditoría que permitan la competencia de un auditor a evaluar; |
|
| d) ser soportada por información tal como la interpretación de la aplicación de las normas de sistemas de gestión aplicable, preguntas frecuentes, registros de los talleres, corrección estándar en casos de estudio y esto debería estar a disposición del auditor; |
|
| e) ser evaluada de acuerdo con los requisitos de formación, y los organismos de certificación deben adoptar las medidas adecuadas sobre la base del resultado de la capacitación, y |
|
| f) ser realizada por instructores calificados. |
|
| 7.2.3.4 El auditor de sistema de gestión de la seguridad para la cadena de suministro debe tener un mínimo de cinco años de experiencia relevante para el análisis de riesgos y de gestión, o dos años, cuando está auditando contra las mejores prácticas de la industria y normas. |
|
| 7.2.3.5 El auditor de sistema de gestión de la seguridad para la cadena de suministro debe realizar un mínimo de cinco auditorías relevantes por año o llevar a cabo un mínimo de 10 días de auditoría en sitio por año para mantener su calificación. |
|
| 7.2.3.6 El organismo de certificación debe ser capaz de demostrar que cada auditor tiene formación y experiencia adecuadas para las diferentes categorías para las que se consideran competentes. La competencia debe ser registrada (cláusula 5.5.c de la norma ISO 19011:2002) |
|
| 7.2.4 El organismo de certificación debe emplear, o tener acceso a un número suficiente de auditores, incluidos líderes de equipo auditor, y a expertos técnicos para cubrir la totalidad de sus actividades y gestionar el volumen de trabajo de auditoría efectuado. |
|
| 7.2.5 El organismo de certificación debe explicar claramente a cada persona involucrada cuáles son sus deberes, responsabilidades y autoridad. |
|
| 7.2.6 El organismo de certificación debe tener procesos definidos para selección, formación, autorización formal y supervisión de los auditores y selección de expertos técnicos empleados en la actividad de certificación. La evaluación de la competencia inicial de un auditor debe incluir la observación de una auditoría en sitio realizada por la persona que está siendo evaluada. |
|
| 7.2.7 El organismo de certificación debe tener un proceso para lograr y demostrar que lleva a cabo auditorías de forma eficaz, incluyendo el empleo de auditores y líderes de equipo auditor que tengan habilidades y conocimientos genéricos de auditoría, así como habilidades y conocimientos apropiados para realizar auditorías en áreas técnicas específicas.. Este proceso debe basarse en la orientación proporcionada en la norma ISO 19011 transformado en requisitos documentados apropiados. (Véase en particular el capítulo 7 de la norma ISO 19011:2002 y el Anexo C) |
|
| 7.2.8 Los auditores de la seguridad para la cadena de suministro deben tener conocimiento y experiencia de seguridad aplicable a la cadena de suministro y de los sectores industriales y empresariales que ellos auditan. |
|
| 7.2.9 Los auditores de sistemas de gestión de la seguridad para la cadena de suministro deben tener, o seguir una formación para adquirir y demostrar las competencias descritas en el Anexo D. |
|
| 7.2.10 La competencia se debe verificar mediante exámenes escritos. La nota mínima para aprobar el examen debe ajustarse de modo que sólo aquellos candidatos que demuestren una comprensión global de los contenidos de los módulos y han logrado el objetivo del curso se les permitirá pasar. |
|
| 7.2.11 El organismo de certificación debe asegurarse de que los auditores y, cuando sea necesario, los expertos técnicos, están familiarizados con las actividades de certificación, los requisitos de la certificación, la metodología de auditoría y otros requisitos pertinentes. El organismo de certificación debe permitir a los auditores y a los expertos técnicos tener acceso a un conjunto de procedimientos documentados actualizados que contengan las instrucciones para la auditoría y toda la información pertinente sobre las actividades de certificación. |
|
| 7.2.12 El organismo de certificación debe emplear auditores y expertos técnicos únicamente para aquellas actividades de certificación para las que han demostrado su competencia.
NOTA Asignación de auditores a equipos auditores específicos en tratada en la cláusula 9. |
|
| 7.2.13 El organismo de certificación debe identificar las necesidades de formación y ofrecer o proporcionar acceso a una formación específica, con el fin de que sus auditores, expertos técnicos y demás personal involucrado en las actividades de certificación, conozcan los requisitos y procesos de certificación. |
|
| 7.2.14 El grupo o la persona que toma la decisión de otorgar, mantener, renovar, ampliar, reducir, suspender o retirar la certificación debe comprender la norma aplicable y los requisitos de certificación, y haber demostrado competencia para evaluar los procesos de auditoría y las recomendaciones relacionadas del equipo auditor. |
|
| 7.2.15 El organismo de certificación debe asegurarse del desempeño satisfactorio de todo el personal involucrado en las actividades de auditoría y de certificación. Debe tener procedimientos documentados y criterios para el seguimiento y medición del desempeño de todas las personas implicadas, basándose en la frecuencia de sus intervenciones y en el nivel del riesgo vinculado a sus actividades. En particular, el organismo de certificación debe revisar la competencia de su personal según su desempeño, con el fin de identificar las necesidades de formación. |
|
| 7.2.16 Los procedimientos de seguimiento documentados para auditores deben incluir una combinación de observación in situ, revisión de los informes de auditoría y la retroalimentación de los clientes o del mercado y debe basarse en la orientación proporcionada en la norma ISO 19011 transformado en requisitos documentados apropiados. Este seguimiento debe diseñarse de tal modo que perturbe lo menos posible los procesos normales de certificación, especialmente, desde el punto de vista del cliente. |
|
| 7.2.17 El organismo de certificación debe observar periódicamente el desempeño de cada auditor In Situ. La frecuencia de las observaciones in situ debe basarse en la necesidad determinada a partir de toda la información de seguimiento disponible. |
|
| 7.3 Empleo de auditores externos y expertos técnicos externos |
|
| El organismo de certificación debe requerir a los auditores externos y expertos técnicos externos que tengan un acuerdo por escrito por el cual se comprometen a cumplir las políticas y procedimientos aplicables, definidos por el organismo de certificación. El acuerdo debe tratar los aspectos relativos a la calificación, confidencialidad y a la independencia frente a los intereses comerciales o de otro tipo y debe requerir que los auditores externos y expertos técnicos externos notifiquen al organismo de certificación cualquier asociación existente o previa con cualquier organización que se le pueda asignar para auditar. |
|
| El organismo de certificación debe asegurar que todos los auditores externos individuales y expertos técnicos externos se someten a control de seguridad y están sujetos a todos los acuerdos de confidencialidad del organismo de certificación.
NOTA El empleo de auditores y expertos técnicos individuales bajo tales acuerdos no constituye una contratación externa, como se describe en el apartado 7.5. |
|
| 7.4 Registros relativos al personal |
|
| El organismo de certificación debe mantener registros actualizados de calificación, formación, experiencia, afiliaciones, estatus profesional y la competencia de cada persona involucrada en la actividad de certificación. |
|
| 7.4.1 Autorización de seguridad |
|
| Los organismos auditores deben establecer y documentar un proceso para investigación de seguridad de candidatos y seguridad de auditores. |
|
| Los organismos de acreditación también deben asegurar que sus auditores cumplen con estos requisitos. |
|
| El proceso para investigación de seguridad de los auditores debe estar documentado de manera que se pueda acceder por las organizaciones que solicitan la auditoría o la certificación de seguridad y, donde sea aplicable otras organizaciones de partes interesadas. |
|
| Los auditores deben tener autorización de seguridad por los respectivos organismos auditores. El proceso de autorización de seguridad debe incluir lo siguiente |
|
| 7.4.2 Las verificaciones de antecedentes |
|
Los organismos de certificación deben llevar a cabo verificaciones de antecedentes penales de todo el personal; auditores y expertos técnicos que realizan auditorías de sistemas de gestión de la seguridad para la cadena de suministro. Siempre que sea posible, las verificaciones deben ser a través de las agencias de verificación de la seguridad nacional o las autoridades policiales. Cuando esto no sea posible, entonces el
organismo de certificación debe comprobar la idoneidad y la integridad a través de un proceso de investigación de antecedentes interno a través de un proceso de evaluación/entrevistas y verificación de registros y autorización de seguridad, supervisadas por la alta dirección de la organización. El proceso de verificación de antecedentes debe incluir revisión de la documentación presentada por el personal candidato para auditoría de seguridad, entrevistas y revisiones de documentos, como pasaportes, tarjetas de identidad, permisos de trabajo, las licencias de conducción y las referencias de lugares de trabajo. Esa conducción de las entrevistas de los auditores de seguridad debe ser designada y verificada utilizando el proceso de 7.4.3. |
|
| 7.4.3 Entrevistas |
|
| El organismo auditor debe establecer una jerarquía de las entrevistas que serán supervisadas por la alta dirección. |
|
| La alta dirección debe designar a un gerente responsable que ha sido verificado por la entrevista e investigación de antecedentes como digno de confianza y que tiene la capacidad y el criterio necesarios para investigar los candidatos de auditores de seguridad y expertos técnicos. El gerente responsable evaluará mediante la revisión de la documentación presentada por los candidatos, y las entrevistas y seguimiento continuo, la confiabilidad y características de comportamiento adecuados de los candidatos de auditores de seguridad y expertos técnicos. |
|
| 7.4.4 Antecedentes laborales |
|
| Cada candidato de auditor de seguridad debe ser capaz de proporcionar evidencia de al menos 5 años completos de historial de trabajo continuo el cual debe ser verificado con los empleadores actuales o anteriores. Candidatos de auditores de seguridad independientes deben proporcionar otra documentación apropiada que demuestre el mismo nivel de confianza y la honradez como registros de empleo. |
|
| 7.4.5 Tarjetas de identificación |
|
A cada auditor de seguridad se le expedirá una tarjeta de identificación que incluya lo siguiente:
– fotografía;
– nombre y apellidos;
– nacionalidad;
– número de documento nacional de identificación;
– nombre y el logotipo del organismo de certificación;
– una marca y característica que evita la alteración y falsificación. |
|
| Se pondrán a disposición de las organizaciones sometidas a auditoría cuando así lo soliciten declaraciones de confidencialidad por parte de auditores de seguridad. |
|
| 7.4.6 Registros |
|
| El procedimiento debe incluir el proceso que el organismo auditor implementará de forma predeterminada para los auditores de seguridad. Estos deberían incluir la aplicación de un procedimiento disciplinario de la organización, incluyendo la suspensión de los auditores mientras que las investigaciones se lleven a cabo. Los registros se conservarán durante los períodos en que los organismos de certificación consideran y justifican que son apropiados. Requisitos legales nacionales, internacionales y otros se deben tomar en cuenta al determinar los períodos de retención de registros. |
|
| 7.4.7 Rendición de cuentas del auditor |
|
| Los auditores deberían ser informados y dar comprensión por escrito que las infracciones pudieran someterlos a medidas disciplinarias, de responsabilidad civil y acciones penales. |
|
| 7.5 Contratación externa |
|
| 7.5.1 El organismo de certificación debe tener un proceso que describa las condiciones bajo las que pueda tener lugar una contratación externa (que es subcontratar a otra organización para que proporcione parte de las actividades de certificación en nombre del organismo de certificación). El organismo de certificación debe tener un acuerdo ejecutable legalmente que cubra los acuerdos, incluyendo la calificación, confidencialidad y los conflictos de intereses, con cada organismo que proporciona servicios contratados externamente.
NOTA 1 Esto puede incluir la contratación externa de otros organismos de certificación. El empleo de auditores bajo contrato está contemplado en el apartado 7.3.
NOTA 2 Para los fines de esta Norma Internacional, los términos ‘contratación externa’ y ‘subcontratación’ son sinónimos. |
|
| 7.5.2 La toma de decisiones respecto a la certificación nunca deben contratarse externamente. |
|
| 7.5.3 El organismo de certificación debe:
a) ser responsable de todas las actividades contratadas externamente a otro organismo; |
|
| b) ser responsable por el otorgamiento, mantenimiento, renovación, ampliación, reducción, suspensión o cancelación de la certificación; |
|
| c) asegurarse de que el organismo que proporciona servicios contratados externamente, y las personas que éste emplea, cumplen los requisitos del organismo de certificación y también las disposiciones aplicables de esta Norma Internacional, incluyendo la competencia, la imparcialidad y la confidencialidad, y |
|
| d) asegurarse de que el organismo que proporciona servicios contratados externamente, y las personas que emplea, no están involucradas directamente o por medio de otro empleador, con la organización que va a ser auditada, de manera que pueda comprometer la imparcialidad. |
|
| e) obtener el consentimiento del cliente para utilizar un organismo dado que proporciona los servicios contratados externamente, y |
|
| f) asumir la responsabilidad por el manejo de quejas y apelaciones. |
|
| 7.5.4 El organismo de certificación debe tener procedimientos documentados para la calificación y el seguimiento de todos los organismos que proporcionan servicios contratados externamente utilizados en las actividades de certificación, y debe asegurar que se mantienen los registros de la competencia de los auditores. |
|
| 8. Requisitos relativos a la información |
|
| 8.1 Información accesible al público |
|
| 8.1.1 El organismo de certificación debe mantener y hacer accesible al público, o proporcionar cuando se le solicite, información sobre las actividades y áreas geográficas en las que trabaja. |
|
| 8.1.2 La información que el organismo de certificación proporciona a cualquier cliente o al mercado, incluida la publicidad, debe ser exacta y no engañosa. |
|
| 8.1.3 El organismo de certificación debe hacer accesible al público la información relativa a las certificaciones otorgadas, suspendidas o retiradas. |
|
| 8.1.4 El organismo de certificación debe proporcionar, a solicitud de cualquier parte, los medios para confirmar la validez de una certificación dada.
NOTA 1 Si la información total procede de diversas fuentes (por ejemplo en forma impresa o electrónica o una combinación de ambas), es conveniente implementar un sistema que asegure la trazabilidad y la ausencia de ambigüedad entre las fuentes (por ejemplo, un sistema de numeración único o hipervínculos en Internet).
NOTA 2 En casos excepcionales, puede limitarse el acceso a cierta información a petición del cliente (por ejemplo, por razones de seguridad). |
|
| 8.2 Documentos de certificación |
|
| 8.2.1 El organismo de certificación debe proporcionar los documentos de certificación al cliente certificado por el medio que elija (ver Nota 1 para 8.1.4). |
|
| 8.2.2 La fecha de entrada en vigencia de un documento de certificación no debe ser anterior a la fecha de la decisión de certificación. |
|
| 8.2.3 El o los documentos de certificación deben identificar lo siguiente:
a) el nombre y la o las ubicaciones geográficas de cada cliente cuyo sistema de gestión de la seguridad para la cadena de suministro es certificado; |
|
| b) las fechas del otorgamiento, ampliación o renovación de la certificación; |
|
| c) la fecha de caducidad coherente con el ciclo de renovación de la certificación; |
|
| d) un código de identificación única; |
|
| e) la norma u otro documento normativo, incluido el número de emisión y/o revisión, utilizado para auditar al cliente certificado; |
|
| f) el alcance de la certificación aplicable a las actividades emprendidas en el marco del sistema de gestión de la seguridad para la cadena de suministro incluyendo servicio, proceso, etc., según el caso, en cada sitio; |
|
| g) el nombre y la marca de certificación del organismo de certificación;
NOTA Si el organismo de certificación tiene derecho a hacerlo, otras marcas (por ejemplo, símbolo de acreditación) se pueden utilizar, sin embargo, el organismo de certificación como la autoridad de expedición del certificado debe garantizar que el significado de la marca (s) no es engañoso o ambiguo. |
|
| h) cualquier otra información requerida por la norma utilizada para la certificación; |
|
| 8.3 Directorio de clientes certificados |
|
| El organismo de certificación debe mantener y tener accesible al público, por el medio que elija, un directorio de certificados válidos que debe, al menos, indicar para cada cliente certificado el nombre, el documento normativo pertinente, el alcance de las actividades y elementos organizacionales y la ubicación geográfica (ciudad y país).
NOTA El directorio es propiedad exclusiva del organismo de certificación. |
|
| 8.4 Referencia a la certificación y utilización de marcas |
|
| 8.4.1 Un organismo de certificación debe tener una política que rija la utilización de una marca que él autoriza a los clientes certificados a utilizar. Ésta debe, entre otras cosas, asegurar la trazabilidad al organismo de certificación. No debe haber ambigüedad, en la marca o el texto que la acompaña, con respecto a qué ha sido certificado y qué organismo de certificación ha otorgado la certificación. Esta marca no debe ser utilizada sobre un producto o un embalaje de producto a la vista del consumidor ni de ninguna otra manera que se pueda interpretar como una indicación de la conformidad de dicho producto.
NOTA La Norma ISO/IEC 17030 proporciona requisitos para la utilización de las marcas de tercera parte. |
|
| 8.4.2 Un organismo de certificación no debe permitir que sus marcas sean colocadas en informes de ensayo/prueba de laboratorio, de calibración ni de inspección, ya que dichos informes se consideran que son productos en este contexto. |
|
| 8.4.3 El organismo de certificación debe requerir que la organización cliente:
a) se ajuste a los requisitos del organismo de certificación al referirse a la condición de su certificación en los medios de comunicación, tales como Internet, folletos o publicidad, u otros documentos; |
|
| b) no haga ni permita que se haga ninguna declaración engañosa concerniente a su certificación; |
|
| c) no utilice ni permita la utilización de manera engañosa de ningún documento de certificación, en su totalidad o en parte; |
|
| d) cese, en caso de suspender o retirar su certificación, toda publicidad que se refiera a una condición de certificado, como sea convenido con el organismo de certificación (véanse los apartados 9.6.3 y 9.6.6); |
|
| e) modifique toda publicidad en caso de reducción del alcance de la certificación; |
|
| f) no permita que se haga referencia a su certificación del sistema de gestión de la seguridad para la cadena de suministro para dar a entender que el organismo de certificación certifica una cadena de suministro o algún elemento de una cadena de suministro; |
|
| g) no implique que la certificación se aplica a actividades fuera del alcance de la certificación, y |
|
| h) no utilice su certificación de forma que pueda dañar el prestigio del organismo de certificación y/o del sistema de certificación y pierda la confianza del público. |
|
| 8.4.4 El organismo de certificación debe ejercer un control apropiado sobre los derechos de propiedad y actuar para identificar y tratar las referencias incorrectas a la condición de la certificación o uso engañoso de los documentos de certificación, marcas o informes de auditoría.
NOTA Una acción como ésta podría incluir la solicitud de una corrección y acción correctiva, suspender, retirar el certificado, la publicación de la infracción y, si es necesario, acciones legales. |
|
| 8.5 Confidencialidad |
|
| 8.5.1 En el marco de acuerdos legalmente ejecutables, el organismo de certificación debe tener una política y disposiciones para preservar la confidencialidad de la información obtenida o creada en el curso de sus actividades de certificación a todos los niveles de su estructura, incluidos los comités y los organismos o personas externas que actúan en su nombre. |
|
| 8.5.2 El organismo de certificación debe notificar al cliente, con antelación, cuál es la información (como es definido en 4.5.1 y 8.3) que tiene intención de hacer pública. Toda otra información, a excepción de la que el cliente pone accesible al público, debe ser considerada confidencial. |
|
| 8.5.3 Salvo que en esta Norma Internacional se indique lo contrario, la información relativa a un cliente o a una persona particular no se debe revelar a un tercero sin el consentimiento escrito del cliente o de la persona concerniente. Cuando un organismo de certificación es obligado por la ley a divulgar información confidencial a un tercero, el cliente o la persona correspondiente debe ser notificada con antelación sobre la información proporcionada, salvo que esté prohibido por ley. |
|
| 8.5.4 La información relativa al cliente obtenida de fuentes distintas al cliente (por ejemplo, de una queja, de autoridades reglamentarias) debe ser tratada como información confidencial, de conformidad con la política del organismo de certificación. |
|
| 8.5.5 El personal, incluidos los miembros de los comités, los contratistas, el personal de organismos externos o personas externas que actúan en nombre del organismo de certificación, deben preservar la confidencialidad de toda la información obtenida o generada en el curso de las actividades del organismo de certificación. |
|
| 8.5.6 El organismo de certificación debe tener y utilizar equipos e instalaciones que le permitan asegurar el tratamiento con total seguridad de la información confidencial (por ejemplo documentos, registros). |
|
| 8.5.7 Cuando la información confidencial se pone a disposición de otros organismos (por ejemplo organismo de acreditación, grupo de acuerdo de un esquema de evaluación entre pares), el organismo de certificación debe notificárselo a su cliente. |
|
| 8.6 Intercambio de información entre el organismo de certificación y sus clientes |
|
| 8.6.1 Información relativa a la actividad y a los requisitos de certificación |
|
| El organismo de certificación debe proporcionar a sus clientes y mantener actualizada la información siguiente:
a) una descripción detallada de la actividad de certificación inicial y de mantenimiento, incluyendo la solicitud, las auditorías iniciales, las auditorías de seguimiento, y el proceso para otorgar, mantener, reducir, ampliar, suspender, retirar y renovar la certificación; |
|
| b) los requisitos normativos para la certificación; |
|
| c) la información relativa a las tarifas de la solicitud, de la certificación inicial y del mantenimiento de la certificación; |
|
| d) los requisitos del organismo de certificación con respecto a que los posibles clientes:
1) cumplan los requisitos de la certificación, |
|
| 2) tomen todas las medidas necesarias para la realización de las auditorías, incluidas las medidas para examinar la documentación y el acceso a todos los procesos y zonas, registros y personal para los fines de la certificación inicial, del seguimiento, de la renovación de la certificación y de la resolución de las quejas, y |
|
| 3) tomen, cuando corresponda, medidas para dar cabida a la presencia de observadores (por ejemplo, los auditores de acreditación o auditores en formación); |
|
| e) los documentos que describen los derechos y obligaciones de los clientes certificados, incluyendo requisitos, cuando hagan referencia a su certificación en toda comunicación, de acuerdo con los requisitos del apartado 8.4; |
|
| f) la información relativa a los procedimientos para el tratamiento de quejas y apelaciones. |
|
| 8.6.2 Notificación de cambios realizados por un organismo de certificación |
|
| El organismo de certificación debe notificar debidamente a sus clientes cualquier cambio en sus requisitos de certificación. Debe verificar que cada cliente certificado cumple los nuevos requisitos.
NOTA Para asegurar la implementación de estos requisitos, podría ser necesario establecer acuerdos contractuales con los clientes certificados. |
|
| 8.6.3 Notificación de cambios realizados por un cliente |
|
| El organismo de certificación debe tener acuerdos legalmente ejecutables para asegurarse de que el cliente certificado le informe, sin demora, de las cuestiones que puedan afectar a la capacidad del sistema de gestión de la seguridad para la cadena de suministro para continuar cumpliendo los requisitos de la norma utilizada para la certificación. Estos incluyen, por ejemplo, los cambios relativos a:
a) la condición legal, comercial, de organización o de propiedad; |
|
| b) la organización y la gestión (por ejemplo directivos clave, personal que toma decisiones o personal técnico); |
|
| c) la dirección y lugar de contacto; |
|
| d) el alcance de las operaciones cubiertas por el sistema de gestión de la seguridad para la cadena de suministro certificado, y |
|
| e) cambios importantes en el sistema de gestión de la seguridad para la cadena de suministro y en los procesos. |
|
| 9. Requisitos relativos a los procesos |
|
| 9.1 Requisitos generales aplicables a cualquier auditoría |
|
| 9.1.1 El programa de auditoría debe incluir una auditoría inicial en dos etapas, auditorías de seguimiento y una auditoría de renovación de la certificación. La determinación del programa de auditoría y cualquier modificación subsiguiente deben tener en cuenta el tamaño de la organización cliente, el alcance y la complejidad de su sistema de gestión de la seguridad para la cadena de suministro y procesos así como el nivel demostrado de eficacia del sistema de gestión de la seguridad para la cadena de suministro y los resultados de todas las auditorías previas. |
|
| 9.1.2 El organismo de certificación debe asegurarse de que se establezca un plan para cada auditoría, que proporcione las bases para llegar a un acuerdo sobre la realización y programación de las actividades de auditoría. Este plan de auditoría debe basarse en requisitos documentados del organismo de certificación redactados de acuerdo con la orientación pertinente proporcionada en la Norma ISO 19011. |
|
| 9.1.3 El organismo de certificación debe tener un proceso de selección y de designación del equipo auditor, incluido el líder del equipo auditor, teniendo en cuenta las competencias necesarias para lograr los objetivos de la auditoría. Este proceso debe basarse en requisitos documentados, redactados de acuerdo con la orientación pertinente proporcionada en la Norma ISO 19011. |
|
| 9.1.4 El organismo de certificación debe tener reglas formales y/o condiciones contractuales para garantizar que cada miembro del equipo actúa de manera imparcial. Cada miembro del equipo debe informar al organismo de certificación, antes de aceptar la designación de la auditoría, sobre cualquier vínculo existente conocido, anterior o previsto con la organización a ser auditada (véase también 5.2.9, 5.2.12 y 7.4). |
|
| 9.1.5 El organismo de certificación debe determinar, de acuerdo con procedimientos documentados, el tiempo de auditor necesarios para llevar a cabo una auditoría completa y eficaz del sistema de gestión de la seguridad para la cadena de suministro del cliente en los lugares incluidos en el alcance de la certificación. |
|
| 9.1.6 Las amenazas de seguridad son únicas para cada sitio operativo, por lo que todos los sitios operativos incluidos en el alcance de la certificación/registro de una organización estarán sujetos a auditoría. La organización debe haber llevado a cabo una evaluación del riego y amenazas para cada sitio y pondrá en práctica controles operacionales en consecuencia. Del mismo modo, las amenazas de seguridad aplicables a los sitios no operacionales, como los que prestan servicios de apoyo administrativo, también son únicos, sino que por la naturaleza de las actividades llevadas a cabo pueden presentar un riesgo menor para la seguridad de la cadena de suministro. Todos los sitios operativos estarán sujetos a auditorías del organismo de certificación/registro y los riesgos presentados por otros sitios que no sean operativos serán evaluados y auditados acorde a esos riesgos. |
|
| El tiempo de auditor determinado por el organismo de certificación para cada sitio/ubicación, y la justificación de la determinación, debe estar basado en los requisitos de los Anexos A y B y deben ser registrados. Para determinar el tiempo de auditor, el organismo de certificación debería considerar, entre otras cosas, los siguientes aspectos:
a) requisitos de la norma relevante del sistema de gestión de la seguridad para la cadena de suministro; |
|
| b) complejidad; |
|
| c) tamaño; |
|
| d) riesgos; |
|
| e) contexto tecnológico y regulatorio; y |
|
| f) número de sitios y consideraciones multisitio. Requisitos para organizaciones que operan multisitios están descritas en el Anexo B. |
|
| Los días-hombre auditor deben estar basados en las tablas día-hombre que figuran en el Anexo A. Aunque el anexo A es informativo los días-hombre para la auditoría de una empresa que opera la cadena de suministro es improbable que sean menores que las indicadas en el Anexo A. |
|
| 9.1.7 El muestreo no es apropiado para organizaciones que operan múltiples sitios operacionales, aun cuando las actividades son sustancialmente las mismas. Cada sitio incluido en el alcance de la certificación será auditado, sin embargo, puede haber un caso para la reducción de la duración de la auditoría para algunos sitios donde el sistema de gestión de la seguridad para la cadena de suministro y las actividades en los diferentes lugares son iguales o muestreo en algunos centros no operativos en que las actividades llevadas a cabo son principalmente administrativas y no tienen un impacto significativo en la seguridad de la cadena de suministro. En estos casos, el organismo de certificación debe realizar una evaluación de riesgos y el desarrollo de un programa de auditoría basado en el riesgo para cada sitio. Este proceso debe asegurar que una auditoría adecuada del sistema de gestión de la seguridad para la cadena de suministro operado por la organización es auditada por el organismo de certificación. Este requisito se describe con más detalle en el Anexo B. |
|
| 9.1.8 En el caso que se asigne a alguien que no sea el líder del equipo de auditoría para la preparación del plan de auditoría, el líder del equipo auditor deberá revisar y aprobar el plan. |
|
| 9.1.9 Las tareas asignadas al equipo auditor deben ser definidas y comunicadas a la organización cliente y deben requerir que el equipo auditor:
a) examine y verifique la estructura, las políticas, los procesos, los procedimientos y los documentos relacionados (registros) de la organización cliente pertinentes al sistema de gestión de la seguridad para la cadena de suministro; |
|
| b) determine que éstos cumplen todos los requisitos pertinentes al alcance previsto de la certificación, |
|
| c) determine que los procesos y procedimientos se han establecido, implementado y mantenido eficazmente para dar confianza en el sistema de gestión de la seguridad para la cadena de suministro de la organización cliente, y |
|
| d) comunique al cliente, para que actúe en consecuencia, cualquier incoherencia entre su política, sus objetivos y metas y los resultados. |
|
| 9.1.10 El organismo de certificación debe proporcionar el nombre y, cuando se solicite, poner a disposición los antecedentes de cada miembro del equipo auditor a la organización cliente, con tiempo suficiente para permitir que la organización cliente pueda objetar la designación de un auditor o experto técnico particular, y que el organismo de certificación reconstituya el equipo en respuesta a cualquier objeción justificada. |
|
| 9.1.11 Se debe comunicar el plan de auditoría y se deben acordar, con antelación, las fechas de la auditoría con la organización cliente. |
|
| 9.1.12 El organismo de certificación debe tener un proceso para realizar las auditorías in situ, definidas en requisitos documentados redactados de acuerdo con la orientación indicada en la Norma ISO 19011.
NOTA 1 Además de visitar las ubicaciones (por ejemplo, la fábrica), la expresión in situ puede incluir el acceso remoto a un sitio o sitios electrónicos que contienen información pertinente para la auditoría del sistema de gestión de la seguridad para la cadena de suministro.
NOTA 2 El término “auditado” utilizado en la Norma ISO 19011 significa la organización sometida a la auditoría. |
|
| 9.2 Auditoría inicial y certificación |
|
| 9.2.1 Solicitud |
|
| El organismo de certificación debe requerir a un representante autorizado de la organización solicitante que le proporcione la información necesaria que le permita establecer lo siguiente:
a) el alcance deseado de la certificación; |
|
| b) las características generales de la organización solicitante, incluido el nombre, y la o las direcciones de sus ubicaciones físicas, los aspectos significativos de su proceso y operaciones, y cualquier obligación legal pertinente; |
|
| c) información general, pertinente para el alcance de la certificación solicitada, referida a la organización solicitante, tales como sus actividades, los recursos humanos y técnicos, las funciones y la relación dentro de una corporación mayor, cuando corresponda; |
|
| d) las normas u otros requisitos para los cuales la organización solicitante pide la certificación; |
|
| e) información relativa a la utilización de consultoría en materia de sistemas de gestión de la seguridad para la cadena de suministro. |
|
| 9.2.2 Revisión de la solicitud |
|
| 9.2.2.1 Antes de proceder a la auditoría, el organismo de certificación debe llevar a cabo una revisión de la solicitud y de la información complementaria para la certificación a fin de asegurarse de que:
a) la información relativa a la organización solicitante y a su sistema de gestión de la seguridad para la cadena de suministro son suficientes para llevar a cabo la auditoría; |
|
| b) los requisitos de la certificación están claramente definidos y documentados y se han proporcionado a la organización solicitante; |
|
| c) se ha resuelto cualquier diferencia de entendimiento entre el organismo de certificación y la organización solicitante; |
|
| d) el organismo de certificación tiene la competencia y la capacidad para llevar a cabo la actividad de certificación; |
|
| e) se tienen en cuenta el alcance de la certificación solicitada, las ubicaciones donde la organización solicitante lleva a cabo sus actividades, el tiempo requerido para completar las auditorías y cualquier otro asunto que tenga influencia sobre la actividad de certificación (idioma, condiciones de seguridad, amenazas a la imparcialidad, etc.); |
|
| f) se mantienen los registros de la justificación sobre la decisión de llevar a cabo la auditoría. |
|
| 9.2.2.2 Basándose en esta revisión, el organismo de certificación debe determinar las competencias que necesita incluir en su equipo auditor y para tomar la decisión de certificación (ver 7.2.7). |
|
| 9.2.2.3 Cuando un organismo de certificación está tomando en cuenta la certificación u otras auditorías ya concedidas a la organización solicitante, deberá recabar suficiente información verificable para justificar y registrar cualquier ajuste en el programa de auditoría. |
|
| 9.2.2.4 Después de haber llevado a cabo la revisión de la solicitud, el organismo de certificación debe notificar al solicitante que acepta o no acepta la solicitud. Las razones de su no aceptación se enviarán al solicitante. |
|
| 9.2.2.5 Antes de comenzar la auditoría, se debe establecer un acuerdo (ver 5.1.2) entre el organismo de certificación y la organización solicitante en el cual:
a) define el alcance del trabajo a realizar, incluyendo el alcance previsto de certificación y detalles de los sitios; |
|
| b) requiere a la organización solicitante que proporcione toda la información necesaria para su certificación prevista; |
|
| c) requiere a la organización solicitante que cumpla con los requisitos para la certificación. |
|
| 9.2.2.6 El organismo de certificación debe, en respuesta a una solicitud de ampliación del alcance de una certificación ya otorgada, realizar un estudio de viabilidad y las actividades de auditoría necesarias para determinar si la ampliación puede ser otorgada. |
|
| 9.2.2.7 El equipo auditor debe ser designado (ver 9.1.3) y estar constituido por auditores (y expertos técnicos, si es necesario) que, entre todos, posean todas las competencias identificadas por el organismo de certificación, tal como se establece en el apartado 9.2.2.2 para la certificación de la organización solicitante. El equipo debe ser seleccionado en función de las atribuciones de competencia de los auditores y expertos técnicos estipuladas en el apartado 7.2.5, y puede incluir el empleo de recursos humanos tanto internos como externos. |
|
| 9.2.2.8 Se debe designar a la o las personas que tomarán la decisión de la certificación con el fin de asegurar que se dispone de la competencia apropiada (ver 7.2.9) |
|
| 9.2.2.9 El equipo auditor necesita un conocimiento que asegure que los miembros entiendan los requisitos relacionados con el sistema que están auditando. Cada equipo auditor debe tener un entendimiento general y conocimiento en cada sector tecnológico e industrial en el que opera. Debe ser capaz de determinar si un sistema de gestión de la seguridad para la cadena de suministro particular cumple adecuadamente con los requisitos de la norma. |
|
| 9.2.2.10 Lo anterior requiere que el equipo auditor, desplegado en cada caso por un organismo de certificación para llevar a cabo una auditoría de la norma del sistema de gestión de la seguridad para la cadena de suministro de una organización, necesita saber qué elementos, procedimientos y procesos generales, son esenciales para la cadena de suministro en cuestión. El equipo auditor debe tener la competencia necesaria, incluyendo el sector o credenciales de regulación, para determinar si el sistema cubre estos elementos esenciales de una manera que le da la debida seguridad de que el sistema puede estar seguro de cumplir con los requisitos especificados. |
|
| 9.2.2.11 En ciertos casos, particularmente donde existen requisitos esenciales y procedimientos especiales, el conocimiento profundo del equipo auditor podrá ser complementado con una sesión de información, entrenamiento específico o asistencia de expertos. El organismo de certificación podrá vincular expertos no auditores a sus equipos auditores. Si un organismo de certificación hace uso de expertos técnicos, su sistema de control de gestión debe proporcionarlo y mantener la competencia actualizada. La documentación debe incluir detalles de cómo los expertos técnicos se seleccionan y cómo se asegura su competencia. El organismo de certificación puede depender de la ayuda exterior, por ejemplo, de las instituciones de la industria o profesionales. |
|
| 9.2.3 Auditoría inicial de certificación |
|
| La auditoría inicial de certificación de un sistema de gestión de la seguridad para la cadena de suministro debe ser realizada en dos etapas: etapa 1 y etapa 2. |
|
| 9.2.3.1 Etapa 1 |
|
| 9.2.3.1.1 La auditoría de la etapa 1 debe tener un plan de auditoría que direcciona los puntos definidos en 9.1.2 y 9.2.3.1.2 |
|
| 9.2.3.1.2 Normalmente, el equipo auditor debe realizar la auditoría de la etapa 1 del sistema de gestión de la seguridad para la cadena de suministro de una organización cliente in situ. En casos excepcionales la etapa 1 puede llevarse a cabo sin una visita. La decisión de no visitar el sitio será justificada y documentada y el cliente será informado que crea un riesgo para la auditoría de la etapa 2. Esta justificación se debe basar en el tamaño de las organizaciones, la ubicación, las consideraciones de riesgo, conocimientos previos, etc. |
|
| 9.2.3.1.3 La auditoría de la etapa 1 debe realizarse con el fin de:
a) evaluar la ubicación y las condiciones específicas del sitio del cliente e intercambiar información con el personal del cliente con el fin de determinar el estado de preparación para la auditoría de la etapa 2; |
|
| b) revisar el estado del cliente y su grado de compresión de los requisitos de la norma, en particular en lo que concierne a la identificación de aspectos clave o significativos del desempeño procesos, objetivos y funcionamiento del sistema de gestión de la seguridad para la cadena de suministro; |
|
| c) recopilar la información necesaria correspondiente al alcance del sistema de gestión de la seguridad para la cadena de suministro, información acerca de la evaluación de riesgos desarrollada, a los procesos y a las ubicaciones de la organización cliente, así como a los aspectos legales y reglamentarios relacionados y su cumplimiento, por ejemplo, aspectos legales del funcionamiento de la organización cliente, identificación de riesgos, etc.; |
|
| d) revisar la asignación de recursos para la auditoría de la etapa 2 y acordar con el cliente los detalles de la auditoría de la etapa 2; |
|
| e) proporcionar un enfoque para la planificación de la auditoría de la etapa 2, obteniendo una comprensión suficiente del sistema de gestión de la seguridad para la cadena de suministro del cliente y de las operaciones del sitio en el contexto de los posibles aspectos significativos; |
|
| f) evaluar si las auditorías internas y la revisión por la dirección se planifican y realizan, y si el nivel de implementación del sistema de gestión de la seguridad para la cadena de suministro confirma que la organización cliente está preparada para la auditoría de la etapa 2. |
|
| 9.2.3.1.4 Los hallazgos de la auditoría de la etapa 1 deben documentarse y comunicarse al cliente, incluida la identificación de cualquier tema de preocupación que podría ser clasificado como no conformidad en el transcurso de la auditoría de la etapa 2. |
|
| 9.2.3.1.5 Cualquier parte del sistema de gestión de la seguridad para la cadena de suministro que es auditada durante la etapa 1 y que se determina estar completamente implementada, eficaz y en conformidad con los requisitos, puede no requerir ser nuevamente auditada durante la auditoria de la etapa 2. No obstante, el organismo de certificación debe asegurar que las partes que ya fueron auditadas del sistema de gestión de la seguridad para la cadena de suministro continúan en conformidad con los requisitos de certificación. En el caso de la etapa 2, el informe de auditoría debe incluir estos hallazgos y debe establecer claramente que la conformidad se ha comprobado durante la auditoría de la etapa 1. |
|
| 9.2.3.1.6 En el momento de determinar el intervalo entre la auditoría de la etapa 1 y la auditoría de la etapa 2, se deben considerar las necesidades del cliente para resolver los problemas identificados en la auditoría de la etapa 1. El organismo de certificación puede asimismo tener que revisar sus acuerdos para la auditoría de la etapa 2. |
|
| 9.2.3.2 Auditoria de la etapa 2 |
|
| 9.2.3.2.1 La auditoría de la etapa 2 debe tener un plan de auditoría (ver 9.1.2). El plan debe seguir los lineamientos de la norma ISO 19011 transformado en requisitos documentados adecuados y tener en cuenta la información obtenida durante la auditoría de la etapa 1. |
|
| 9.2.3.2.2 La auditoría de la etapa 2 debe tener lugar en el sitio (s) de la organización cliente. El propósito de la auditoría de la etapa 2 es evaluar la aplicación y eficacia del sistema de gestión de la seguridad para la cadena de suministro. |
|
| 9.2.3.2.3 El equipo auditor debe realizar la etapa 2 de auditoría para obtener evidencia de auditoría de que el sistema de gestión de la seguridad para la cadena de suministro cumple con la norma y otros requisitos de certificación. |
|
| 9.2.3.2.4 El equipo auditor debe auditar un número suficiente de ejemplos de las actividades de la organización cliente en relación con el sistema de gestión de la seguridad para la cadena de suministro y las actividades para obtener una evaluación racional de la implementación, incluida la eficacia, del sistema de gestión de la seguridad para la cadena de suministro. |
|
| 9.2.3.2.5 Como parte de la auditoría, el equipo auditor debe entrevistar a un número suficiente de personal, incluidos los altos directivos y el personal de operaciones de la instalación auditada, para ofrecer garantías de que el sistema se implementa y se entiende en toda la organización cliente. |
|
| 9.2.3.2.6 El equipo auditor debe analizar todas las pruebas y la información recopilada durante la auditoría de la etapa 1 y etapa 2 para determinar el grado de cumplimiento de todos los requisitos de certificación y decidir sobre cualquier no conformidad. El equipo auditor podrá proponer oportunidades de mejora, pero no recomendará soluciones específicas. |
|
| 9.2.3.2.7 La auditoría de la etapa 2 debe cubrir un examen del sistema de gestión de la seguridad para la cadena de suministro de la organización la cual aborda al menos lo siguiente:
a) la información y las evidencias de la conformidad con todos los requisitos del documento normativo aplicable; |
|
| b) la realización de actividades de seguimiento, medición, informe y revisión con relación a los objetivos y metas de desempeño clave; |
|
| c) el sistema de gestión de la seguridad para la cadena de suministro de la organización y su desempeño en relación con el cumplimiento de la legislación; |
|
| d) el control operacional; |
|
| e) las auditorías internas y la revisión por la dirección; |
|
| f) la responsabilidad de la dirección en relación con las políticas de la organización cliente; |
|
| g) los vínculos entre los requisitos normativos, la política, los objetivos y metas y cualquier requisito legal aplicable, la responsabilidad, la competencia del personal, las operaciones, los procedimientos, los datos del desempeño y los resultados de auditoría interna. |
|
| 9.2.3.2.8 Las acciones que deben llevarse a cabo después de la finalización de una auditoría de la etapa 2 deben incluir como mínimo lo siguiente:
a) un registro de las no conformidades identificadas y acordadas debe ser entregado al cliente antes de la salida del lugar de la auditoría; |
|
| b) la emisión del informe de auditoría especificado en 9.2.4. |
|
| 9.2.3.2.9 La no conformidad debe estar definida como la ausencia o el fallo para implementar y mantener uno o varios requisitos del sistema de gestión de calidad, o una situación que, sobre la base de pruebas objetivas disponibles, plantear serias dudas sobre la calidad de lo que la organización está suministrando. |
|
| El organismo de certificación/registro es libre de definir los diferentes grados de deficiencia y áreas de mejora (por ejemplo, No conformidades Mayores y Menores, observaciones, etc.) |
|
| 9.2.4 Informes de auditoría de certificación inicial |
|
| 9.2.4.1 El organismo de certificación debe tener procedimientos documentados para los informes. |
|
| 9.2.4.2 El informe de auditoría de la etapa 1 incluirá comentarios sobre la idoneidad de la documentación del sistema de gestión de la seguridad para la cadena de suministro, el análisis de la organización, del desempeño clave o aspectos significativos y si el nivel de implementación del sistema de gestión de la seguridad para la cadena de suministro indica que está listo para la etapa 2 de la auditoría. En el informe de la etapa 1 de la auditoría se informará sobre los requisitos de 9.2.3.1.3. |
|
| 9.2.4.3 El informe de etapa 2 de la auditoría se basa en la orientación proporcionada en la Norma ISO 19011 transformado en requisitos documentados apropiados. |
|
| 9.2.4.4 El informe de auditoría interno del auditor deberá por lo menos incluir o hacer referencia a lo siguiente:
a) la identificación del cliente de auditoría; |
|
| b ) la identificación de los representantes del auditado; |
|
| c ) identificación del organismo de certificación; |
|
| d ) la identificación del líder del equipo auditor y de los miembros; |
|
| e) los objetivos de la auditoría; |
|
f ) el alcance de la auditoría, particularmente la identificación de las unidades o procesos organizacionales y funcionales auditados, el
período de tiempo cubierto y los elementos de la cadena de suministro evaluados; |
|
| g) los criterios de auditoría; |
|
| h ) la referencia a las normas de gestión de la seguridad para la cadena de suministro y/o de otros documentos de referencia normativa utilizados; |
|
| i ) las fechas y lugares donde se realizaron las actividades de auditoría in situ y la fecha de la auditoría anterior; |
|
| j ) los resultados de la auditoría:
1 ) Resumen de las observaciones más importantes, tanto positivas como negativas, en cuanto a la aplicación y la eficacia del sistema de gestión de la seguridad para la cadena de suministro; |
|
| 2 ) descripción general y un resumen de la información más constructiva/beneficiosa, tanto positiva como negativa, con respecto a la aplicación y eficacia de la metodología de evaluación de riesgos; |
|
| 3 ) no conformidades planteadas durante la auditoría frente a los requisitos específicos de la norma; |
|
| 4 ) Informe sobre la aclaración de cada no conformidad revelada previamente; |
|
| k ) las conclusiones de la auditoría:
1 ) grado de confianza que puede ser ubicado el sistema de gestión de la seguridad para la cadena de suministro y la metodología de la evaluación del riesgo; |
|
| 2 ) las recomendaciones del equipo de auditoría en relación con el estado de certificación. |
|
9.2.4.5 Como mínimo estos procedimientos documentados deberán garantizar, después de una auditoría de la etapa 2, que se proporciona un informe de auditoría del cliente por escrito dentro de un plazo mutuamente acordado de tiempo para la organización auditada, incluyendo resultados de la auditoría y las conclusiones, positivas y negativas, sobre el cumplimiento, incluida la eficacia , del sistema de gestión de la seguridad para la cadena de suministro (en particular, haciendo referencia a la eficacia de los procesos de auditoría interna y
logro de los compromisos de política) con todos los requisitos de la norma, incluyendo la identificación de las no conformidades. |
|
| 9.2.4.6 La propiedad del informe de auditoría deberá ser mantenida por el organismo de certificación. Cuando el contenido de los informes incluye datos sensibles de seguridad y luego la custodia del informe pueda ser delegada en la organización, la propiedad y el derecho a modificar los informes recae en el organismo de certificación. |
|
| 9.2.5 Actividades posteriores a la auditoría |
|
| 9.2.5.1 A la organización auditada se le pedirá que describa la corrección específica y las acciones correctivas tomadas, o previstas a tomar, para eliminar las no conformidades detectadas y sus causas, en un plazo definido, para poner remedio a los incumplimientos señalados. |
|
| 9.2.5.2 La organización auditada será informada si una auditoría adicional completa, una revisión limitada adicional o evidencia documentada (por confirmar durante las futuras auditorías de vigilancia), serán necesarias para garantizar la corrección efectiva y acciones correctivas. Esta decisión se basa en los tipos y el número de no conformidades identificadas. |
|
| 9.2.5.3 Correcciones y acciones correctivas por la organización auditada serán revisadas por el organismo de certificación para determinar si las acciones son suficientes y, si ya se ha implementado, eficaces. |
|
| 9.2.6 Decisión sobre la certificación inicial o la ampliación de la certificación |
|
| 9.2.6.1 La información proporcionada por el equipo auditor al organismo de certificación para permitir que tome una decisión debe incluir como mínimo:
a) los informes indicados en 9.2.4; |
|
| b) los comentarios sobre las no conformidades y, cuando corresponda, las correcciones y acciones correctivas llevadas a cabo por la organización auditada; |
|
| c) la confirmación de la información proporcionada al organismo de certificación y utilizada para la revisión de la solicitud (véase el apartado 9.2.2), y |
|
| d) la recomendación de otorgar o no la certificación, junto con cualquier condición u observación. |
|
| 9.2.6.2 El organismo de certificación debe tomar la decisión de certificar basándose en una evaluación de los hallazgos y conclusiones de la auditoría y cualquier otra información pertinente (por ejemplo información pública, comentarios del cliente sobre el informe de auditoría). |
|
| 9.2.6.3 El organismo de certificación debe asegurarse de que la persona (s) o los comités que participan en las decisiones de certificación son diferentes de las que llevaron a cabo las auditorías. |
|
| 9.2.6.4 El organismo de certificación deberá confirmar, antes de tomar una decisión, que:
a) la información proporcionada por el equipo de auditoría es suficiente con respecto a los requisitos de certificación y el alcance de la certificación; |
|
| b) se ha revisado y aceptado el desempeño satisfactorio de correcciones y acciones correctivas, incluyendo acciones para eliminar la causa para evitar la recurrencia, para todas las no conformidades que denotan o bien: |
|
| 1) la ausencia de, o la falta de, implementar y mantener el cumplimiento de uno o más requisitos del sistema de gestión de la seguridad para la cadena de suministro; o |
|
2) una situación que, sobre la base de pruebas objetivas disponibles, plantearía serias dudas sobre la
la capacidad de la organización del cliente para satisfacer los requisitos constantemente y la eficacia del sistema de gestión de la seguridad para la cadena de suministro; |
|
c) para las demás no conformidades, que ha aceptado las actividades previstas por la organización de corrección y
acción correctiva incluyendo acciones para prevenir la recurrencia. |
|
| 9.3 ACTIVIDADES DE VIGILANCIA |
|
| 9.3.1 Generalidades |
|
| 9.3.1.1 El organismo de certificación debe desarrollar sus actividades de vigilancia de manera que se realice el seguimiento regular de las áreas y funciones representativas, cubiertas por el alcance del sistema de gestión de la seguridad para la cadena de suministro, y se tengan en cuenta los cambios en su cliente certificado y en su sistema de gestión. |
|
| 9.3.1.2 Las actividades de vigilancia deben incluir auditorías in situ, que evalúen el cumplimiento del sistema de gestión de la seguridad para la cadena de suministro certificado del cliente con respecto a la norma frente a la que se otorga la certificación. Otras actividades de vigilancia pueden incluir:
a) la petición de información del organismo de certificación al cliente certificado sobre aspectos relativos a la certificación, |
|
| b) la revisión de cualquier declaración del cliente relativa a sus operaciones (por ejemplo, material promocional, sitios en Internet), |
|
| c) la solicitud al cliente para que proporcione documentos y registros (en papel o en soporte electrónico), y |
|
| d) otros medios de seguimiento del desempeño del cliente certificado. |
|
| 9.3.1.3 El organismo de certificación debe tener un programa establecido para la realización de auditorías periódicas de vigilancia a intervalos suficientemente próximos para confirmar que el sistema de gestión de la seguridad para la cadena de suministro certificado sigue cumpliendo con todos los requisitos de certificación y es eficaz. |
|
| 9.3.1.4 La fecha de la primera auditoría de seguimiento, después de la certificación inicial, se puede programar desde el final de la etapa 2 de la auditoría inicial (por ejemplo, a partir de la fecha de la reunión de cierre). |
|
| 9.3.2 Auditoría de seguimiento |
|
| 9.3.2.1 Las auditorías de seguimiento son auditorías In Situ, pero no son necesariamente auditorías de todo el sistema y deben planificarse junto con las otras actividades de vigilancia, de manera que el organismo de certificación pueda confiar en que el sistema de gestión de la seguridad para la cadena de suministro certificado continúa cumpliendo los requisitos entre las auditorías de renovación de la certificación. El programa de auditoría de seguimiento debe incluir al menos:
a) auditorías internas, evaluación de la seguridad y planificación, y revisión por la dirección, |
|
| b) una revisión de las acciones tomadas sobre las no conformidades identificadas durante la auditoría previa, |
|
| c) el tratamiento de las quejas, |
|
| d) la eficacia del sistema de gestión de la seguridad para la cadena de suministro en relación con el logro de los objetivos del cliente certificado, |
|
| e) el progreso de las actividades planificadas dirigidas a la mejora continua, |
|
| f) la continuidad en el control operativo, |
|
| g) la revisión de cualquier cambio, y |
|
| h) la utilización de marcas y/o cualquier otra referencia a la certificación. |
|
| 9.3.2.2 Las auditorías de seguimiento deben realizarse al menos una vez al año. |
|
| 9.3.2.3 Las auditorías de seguimiento deben tener un plan de auditoría (ver 9.1.2) |
|
| 9.3.2.4 La duración de una auditoría de seguimiento debe tener en cuenta la orientación del Anexo A y ser determinada por el organismo de certificación con la debida consideración a:
a) la categoría de riesgo de los procesos y elementos de la cadena de suministro; |
|
| b) el número de elementos de la cadena de suministro, los sitios, los procesos y productos; |
|
| c) el número de empleados relacionados con la seguridad de la cadena de suministro en cadena; |
|
| d) el tamaño de la toma de muestras al azar; |
|
| e) el número de no conformidades observadas en auditorías anteriores; |
|
| f) Los cambios en la organización, productos o procesos. |
|
| 9.3.3 Informe auditoría de seguimiento |
|
| 9.3.3.1 Para las auditorías de seguimiento, el informe del equipo auditor debe incluir:
a) los requisitos de la norma del sistema de gestión de la seguridad para la cadena de suministro que fueron auditados; |
|
| b) las observaciones sobre el cumplimiento de los requisitos de certificación, incluyendo la eficacia; |
|
| c) la verificación de la aplicación efectiva de las medidas correctivas para cada no conformidad de la auditoría; y |
|
| d) cualesquier no conformidad nuevas.
Este informe se basa en la orientación proporcionada en la Norma ISO 19011 transformado en su caso documentado
requisitos. |
|
| 9.3.3.2 Este informe debe ser suministrado a la organización cliente por el organismo de certificación. |
|
| 9.3.3.3 Cuando, durante una auditoría de seguimiento, se identifican los casos de no conformidad o falta de pruebas de conformidad, el organismo de certificación debe definir los plazos para la corrección y las acciones correctivas que se implementarán.
NOTA Se recomienda que los plazos se basen en la gravedad de la no conformidad y su impacto. |
|
| 9.3.3.4 Se debe informar a la organización auditada si una auditoría adicional completa, una revisión limitada adicional o evidencia documentada (por confirmar durante las futuras auditorías de seguimiento), serán necesarias para garantizar la corrección efectiva y acciones correctivas. Esta decisión se basa en los tipos y el número de no conformidades identificadas. |
|
| 9.3.4 Mantenimiento de la certificación |
|
| El organismo de certificación debe mantener la certificación basándose en la demostración de que el cliente continúa satisfaciendo los requisitos de la norma del sistema de gestión de la seguridad para la cadena de suministro. Puede mantener la certificación de un cliente sobre la base de una conclusión favorable formulada por el líder del equipo auditor, sin tener que proceder a una revisión independiente posterior, a condición de que:
a) para cualquier no conformidad u otra situación susceptible de dar lugar a suspender o a retirar la certificación, el organismo de certificación disponga de un sistema que requiera que el líder del equipo auditor informe al organismo de certificación sobre la necesidad de iniciar una revisión por personal competente adecuado (véase el apartado 7.2.9) y diferente de aquel que ha llevado a cabo la auditoría, con el fin de determinar si se puede mantener la certificación; |
|
| b) los criterios para hacer frente a las no conformidades y las acciones correctivas posteriores son conocidas por el líder del equipo; |
|
| c) el personal competente del organismo de certificación realice el seguimiento de sus actividades de vigilancia, incluido el seguimiento de los informes de sus auditores, con el fin de confirmar que la actividad de certificación funciona de manera eficaz. |
|
| 9.4 Renovación de la certificación |
|
| 9.4.1 Ciclo de renovación de la certificación |
|
| El intervalo de tiempo entre la auditoría de certificación inicial y la auditoría de renovación de la certificación o entre auditorías de renovación de la certificación no debe exceder 3 años. |
|
| 9.4.2 Plan de auditoría de renovación de la certificación |
|
| 9.4.2.1 Se debe planificar y llevar a cabo una auditoría de renovación de la certificación para evaluar el continuo cumplimiento de todos los requisitos del documento normativo pertinente. El propósito de la auditoría de renovación de la certificación es confirmar la continua conformidad y eficacia del sistema de gestión de la seguridad para la cadena de suministro en su conjunto así como su continua pertinencia y aplicabilidad del alcance de la certificación. |
|
| 9.4.2.2 La auditoría de renovación de la certificación debe considerar el desempeño del sistema de gestión de la seguridad para la cadena de suministro durante el período de la certificación, e incluir la revisión de los informes de auditorías de seguimiento previas (9.3.3). |
|
| 9.4.2.3 Puede ser necesario que las actividades de la auditoría de renovación de la certificación incluyan una auditoría de la etapa 1, en el caso de que se hayan producido cambios significativos en el sistema de gestión de la seguridad para la cadena de suministro, la organización, o el contexto en el que opera el sistema de gestión de la seguridad para la cadena de suministro (por ejemplo, cambios en la legislación). |
|
| 9.4.2.4 En el caso de que el organismo de certificación proporcione la certificación de varios sitios o según varias normas de sistemas de gestión de la seguridad para la cadena de suministro, la planificación de la auditoría debe asegurar una cobertura de auditoría in situ apropiada para dar confianza en la certificación. |
|
| 9.4.2.5 Los resultados de las auditorías de seguimiento recientes y la auditoría interna del cliente certificado (s) deberían ser tomados en cuenta. El plan de auditoría debe basarse en los lineamientos de la norma ISO 19011 transformado en requisitos documentados apropiados. |
|
| 9.4.2.6 La duración de las auditorías de renovación de la certificación deben basarse en la directriz de Anexo A. |
|
| 9.4.3 Auditoría de renovación de la certificación |
|
| La auditoría de renovación de la certificación debe incluir una auditoría in situ (la cual puede reemplazar o ampliar una auditoría de seguimiento regular). Esta auditoría de renovación de la certificación debe direccionar los siguientes requisitos del sistema de gestión de la seguridad para la cadena de suministro:
a) La efectiva interacción entre los procesos del sistema de gestión de la seguridad para la cadena de suministro; |
|
| b) la eficacia del sistema de gestión de la seguridad para la cadena de suministro en su totalidad, a la vista de los cambios internos y externos; |
|
| c) el compromiso demostrado para mantener la eficacia y la mejora del sistema de gestión de la seguridad para la cadena de suministro con el fin de reforzar el desempeño global; |
|
| d) si la operación del sistema de gestión de la seguridad para la cadena de suministro certificado contribuye al logro de la política y los objetivos de la organización. |
|
| 9.4.4 Informe de auditoría de renovación de la certificación |
|
| 9.4.4.1 Para auditorías de renovación de la certificación, el informe del equipo auditor para el cliente certificado y para el organismo de certificación debe comentar lo siguiente:
a) el sistema de gestión de la seguridad para la cadena de suministro revisado incluyendo el análisis de riesgos: |
|
| b) el cumplimiento de los requisitos de certificación; |
|
| c) la revisión y verificación de la aplicación continua efectiva de la acción correctiva para cada no conformidad de la auditoría anterior; y |
|
| d) la eficacia del sistema de gestión de la seguridad para la cadena de suministro de la organización auditada.
Este informe debe basarse en la orientación proporcionada en la Norma ISO 19011 transformado en su caso documentado |
|
| 9.4.4.2 Cuando, durante una auditoría de renovación de la certificación, se identifican los casos de no conformidad o falta de pruebas de conformidad, el organismo de certificación debe definir los plazos para la corrección y las acciones correctivas que se implementarán.
NOTA Se recomienda que los plazos debieran basarse en la gravedad de la no conformidad y su impacto, y no ser tan largo como para que la credibilidad de la certificación se ponga en duda. |
|
| 9.4.4.3 Se debe informar a la organización auditada si una auditoría adicional completa, una revisión limitada adicional o evidencia documentada (por confirmar durante las futuras auditorías de vigilancia), serán necesarias para garantizar la corrección efectiva y acciones correctivas. |
|
| 9.4.5 Decisión de la renovación de la certificación |
|
| 9.4.5.1 El organismo de certificación debe asegurar que las personas o comités que toman las decisiones de renovación de la certificación son diferentes de aquellas que llevaron a cabo las auditorías. |
|
| 9.4.5.2 El organismo de certificación debe tomar decisiones sobre la renovación de la certificación sobre la base de los resultados de la auditoría de renovación de la certificación, así como los resultados de la revisión del sistema durante el período de certificación y las quejas recibidas de los usuarios de la certificación. |
|
| 9.4.5.3 El organismo de certificación debe confirmar, antes de tomar la decisión, que:
a) la información proporcionada por el equipo de auditoría es suficiente con respecto a los requisitos de certificación y el alcance de la certificación; |
|
| b) se ha revisado y aceptado el desempeño de corrección satisfactoria y acciones correctivas, incluyendo acciones para eliminar la causa para evitar la recurrencia, para todas las no conformidades que denotan o bien: |
|
| 1) falta de mantenimiento del cumplimiento de uno o varios requisitos del sistema de gestión de la seguridad para la cadena de suministro; o |
|
| 2) una situación que, sobre la base de pruebas objetivas disponibles, plantearía serias dudas sobre la capacidad de la organización del cliente para cumplir con los requisitos de forma consistente y la eficacia del sistema de gestión de la seguridad para la cadena de suministro; |
|
| c) para las demás no conformidades, que ha aceptado las actividades previstas por la organización de correcciones y acciones correctivas incluyendo acciones para prevenir la recurrencia. |
|
| 9.5 AUDITORÍAS ESPECIALES |
|
| El organismo de certificación puede tener que realizar auditorías de clientes certificados bajo la forma de visitas notificadas a corto plazo con el fin de investigar quejas (véase el apartado 9.8) o en respuesta a cambios (véase el apartado 8.6.3). En estos casos:
a) el organismo de certificación debe describir y poner en conocimiento de los clientes certificados con antelación (por ejemplo, en los documentos descritos en el apartado 8.6.1) las condiciones en las que se van a efectuar estas visitas con notificación a corto plazo, |
|
| b) el organismo de certificación debe poner un cuidado muy especial en la designación del equipo auditor debido a la imposibilidad por parte de la organización auditada de formular una objeción sobre los miembros del equipo auditor. |
|
| 9.6 SUSPENDER, RETIRAR O REDUCIR EL ALCANCE DE LA CERTIFICACIÓN |
|
| 9.6.1 El organismo de certificación debe tener una política y procedimientos documentados para suspender, retirar o reducir el alcance de la certificación y debe definir las acciones que debe tomar en consecuencia. |
|
| 9.6.2 El organismo de certificación debe suspender la certificación cuando, pero no limitarse a:
a) el sistema de gestión de la seguridad para la cadena certificado del cliente ha dejado de cumplir de forma persistente o grave los requisitos de la certificación, incluidos los requisitos relativos a la eficacia del sistema de gestión de la seguridad para la cadena de suministro; |
|
| b) el cliente certificado no permite la realización de las auditorías de seguimiento o de renovación de la certificación de acuerdo con la periodicidad requerida, o |
|
| c) la organización certificada ha pedido voluntariamente una suspensión. |
|
| 9.6.3 En el caso de una suspensión, la certificación del sistema de gestión de la seguridad para la cadena de suministro de del cliente se invalida temporalmente. El organismo de certificación debe establecer con sus clientes acuerdos de cumplimiento obligatorio para asegurarse de que, en caso de suspensión el cliente se abstenga de publicitar su certificación. El organismo de certificación debe hacer pública la suspensión de la certificación (véase el apartado 8.1.3) y debe tomar cualquier otra medida que juzgue necesaria. |
|
| 9.6.4 Cuando no se resuelvan los problemas que dieron lugar a la suspensión en el plazo establecido por el organismo de certificación, se debe retirar o reducir el alcance de la certificación.
NOTA En la mayoría de los casos, la suspensión no debería superar los 6 meses. |
|
| 9.6.5 El organismo de certificación debe reducir el alcance de la certificación del cliente para excluir las partes que no cumplen los requisitos, cuando el cliente ha dejado de cumplir de forma persistente o grave, los requisitos de la certificación para esas partes del alcance de la certificación. Cualquier reducción del alcance de este tipo, debe estar en línea con los requisitos de la norma utilizada para la certificación. |
|
| 9.6.6 El organismo de certificación debe tener acuerdos válidos con el cliente certificado relativos a las condiciones para retirar la certificación [véase el apartado 8.4.3 d)] para asegurarse de que, a partir de la notificación para retirar la certificación, el cliente deje de usar toda publicidad que contenga alguna referencia a una condición de certificado. |
|
| 9.6.7 A petición de cualquier parte, el organismo de certificación debe declarar correctamente la condición de la certificación del sistema de gestión de la seguridad para la cadena de suministro de un cliente, como suspendida, retirada o reducida. |
|
| 9.7 APELACIONES |
|
| 9.7.1 El organismo de certificación debe tener un proceso documentado que le permita recibir, evaluar y tomar decisiones relativas a las apelaciones. |
|
| 9.7.2 Una descripción del proceso de tratamiento de apelaciones debe estar accesible al público. |
|
| 9.7.3 El organismo de certificación debe ser responsable de todas las decisiones tomadas a todos los niveles del proceso para el tratamiento de las apelaciones. El organismo de certificación debe asegurarse de que las personas encargadas del proceso para el tratamiento de las apelaciones sean diferentes de las que llevaron a cabo las auditorías y tomaron las decisiones de certificación. |
|
| 9.7.4 La presentación, la investigación y la decisión relativa a las apelaciones no deben dar lugar a acciones discriminatorias contra el apelante. |
|
| 9.7.5 El proceso para el tratamiento de las apelaciones debe incluir al menos los elementos y métodos siguientes:
a) una descripción del proceso de recepción, validación e investigación de la apelación, así como del proceso para decidir qué acciones se tomarán en respuesta a ella, teniendo en cuenta los resultados de apelaciones similares previas; |
|
| b) el seguimiento y registro de las apelaciones, incluidas las acciones tomadas para resolverlas; |
|
| c) asegurarse de que se ha realizado la corrección y se han tomado las acciones correctivas apropiadas. |
|
| 9.7.6 El organismo de certificación debe acusar recibo de la apelación y debe proporcionar al apelante los informes del avance y el resultado. |
|
| 9.7.7 La decisión a comunicar al apelante debe hacerla, o revisarla y aprobarla una o más personas que no hayan estado involucradas previamente en el objeto de la apelación. |
|
| 9.7.8 El organismo de certificación debe notificar formalmente al apelante cuándo ha finalizado el proceso para el tratamiento de la apelación. |
|
| 9.8 QUEJAS |
|
| Los clientes y usuarios de la certificación (véase 4.1.2 y 4.7) pueden esperar que las quejas se investiguen, y si se determina que son válidas, tener confianza en que las quejas serán debidamente atendidas y que se hará un esfuerzo razonable para resolver la queja.
NOTA La resolución efectiva de quejas es un medio importante de protección para el organismo de certificación, sus clientes, los órganos que autorizan los organismos de certificación y otros usuarios de la certificación contra errores, omisiones o comportamiento irracional. La confianza en las actividades de certificación está salvaguardada cuando las quejas se procesan adecuadamente. |
|
| 9.8.1 Una descripción del proceso de tratamiento de quejas debe estar accesible al público. |
|
| 9.8.2 A partir de la recepción de una queja, el organismo de certificación debe confirmar si la queja se refiere a las actividades de certificación de las que es responsable, y en caso afirmativo, debe tratarla. Si la queja concierne a un cliente certificado, ésta debe considerar la eficacia del sistema de gestión de la seguridad para la cadena de suministro certificado. |
|
| 9.8.3 Cualquier queja relativa a un cliente certificado debe también ser remitida por el organismo de certificación al correspondiente cliente certificado en un plazo oportuno. |
|
| 9.8.4 El organismo de certificación debe tener un proceso documentado para recibir, evaluar y tomar decisiones relativas a las quejas. Este proceso debe estar sujeto a los requisitos de confidencialidad, en la medida en que esté asociada al reclamante y al objeto de la queja. |
|
| 9.8.5 El proceso para el tratamiento de quejas debe incluir al menos los elementos y métodos siguientes:
a) una descripción del proceso de recepción, validación e investigación de la queja, y para decidir qué acciones se tomarán en respuesta a ella; |
|
| b) el seguimiento y registro de las quejas, incluidas las acciones tomadas en respuesta; |
|
| c) asegurarse de que se ha realizado la corrección y se han emprendido las acciones correctivas apropiadas.
NOTA La Norma ISO 10002 proporciona orientación para el tratamiento de las quejas. |
|
| 9.8.6 El organismo de certificación que recibe la queja debe ser responsable de reunir y verificar toda la información necesaria para validar la queja. |
|
| 9.8.7 En la medida de lo posible, el organismo de certificación debe acusar recibo de la queja y debe proporcionar al reclamante los informes de avance y el resultado. |
|
| 9.8.8 La decisión a comunicar al reclamante debe hacerla, o revisarla y aprobarla, una o más personas que no hayan estado involucradas previamente en el objeto de la queja. |
|
| 9.8.9 En la medida de lo posible, el organismo de certificación debe notificar formalmente al reclamante cuándo ha finalizado el proceso para el tratamiento de la queja. |
|
| 9.8.10 El organismo de certificación debe determinar junto con el cliente y el reclamante, si debe hacer público el tema de la queja y su resolución, y si fuera así, en qué medida. La decisión de mantener la denuncia confidencial puede ser apelada por cualquiera de las partes a la queja y deberá justificarse. |
|
| 9.9 REGISTROS RELATIVOS A SOLICITANTES Y CLIENTES |
|
| 9.9.1 El organismo de certificación debe mantener los registros relativos a la actividad de auditoría y certificación de todos los clientes, incluidas todas las organizaciones que presentaron solicitudes, así como todas las organizaciones auditadas, certificadas o a las que se le suspendió o retiró la certificación. |
|
| 9.9.2 Los registros relativos a los clientes certificados deben incluir lo siguiente:
a) la información relativa a la solicitud y los informes de auditoría inicial, de seguimiento y de renovación de la certificación; |
|
| b) la justificación de la metodología utilizada para el muestreo; |
|
| c) la justificación para la determinación del tiempo asignado a los auditores (véase el apartado 9.1.5); |
|
| d) la verificación de las correcciones y acciones correctivas; |
|
| e) los registros de las quejas y apelaciones, y cualquier corrección o acción correctiva subsiguiente; |
|
| f) las deliberaciones y decisiones del comité, cuando corresponda; |
|
| g) la documentación relativa a las decisiones de certificación; |
|
| h) los documentos de certificación, incluido el alcance de la certificación con respecto a producto, proceso o servicio, según el caso; |
|
| i) los registros relacionados que son necesarios para establecer la credibilidad de la certificación, tales como evidencia de la competencia de los auditores y expertos técnicos. |
|
| 9.9.3 El organismo de certificación debe conservar los registros relativos a los solicitantes y clientes de forma segura, con el fin de asegurar que la información se mantenga confidencial. Los registros deben transportarse, transmitirse o transferirse de forma que se asegure el mantenimiento de la confidencialidad (ver 10.2.3). |
|
| 9.9.4 El organismo de certificación debe tener una política y procedimientos documentados sobre la retención de los registros. Los registros deben retenerse durante el tiempo que dure el ciclo en curso, más un ciclo completo de certificación.
NOTA En algunos lugares la legislación establece que los registros tienen que mantenerse por un período de tiempo mayor. |
|
| 10. REQUISITOS RELATIVOS AL SISTEMA DE GESTIÓN DE LOS ORGANISMOS DE CERTIFICACIÓN |
|
| El organismo de certificación debe establecer y mantener un sistema de gestión capaz de apoyar y demostrar el logro coherente de los requisitos de esta Norma Internacional. Al organizar el sistema de gestión del organismo de certificación debe implementar un sistema de gestión de acuerdo con los requisitos contenidos en 10.1 o 10.2. |
|
| 10.1 OPCIÓN 1 – REQUISITOS DEL SISTEMA DE GESTIÓN DE ACUERDO CON LA NORMA ISO 9001 |
|
| El organismo de certificación debe establecer y mantener un sistema de gestión, de acuerdo con los requisitos de la Norma ISO 9001, que sea capaz de apoyar y demostrar el logro coherente de los requisitos de esta Norma Internacional, ampliados en los apartados 10.1.1 a 10.1.4. |
|
| 10.1.1 Alcance |
|
| Para la aplicación de los requisitos de la Norma ISO 9001, el alcance del sistema de gestión debe incluir los requisitos de diseño y desarrollo para sus servicios de certificación. |
|
| 10.1.2 Enfoque al cliente |
|
| Para la aplicación de los requisitos de la Norma ISO 9001, cuando el organismo de certificación desarrolla su sistema de gestión, debe tener en cuenta la credibilidad de la certificación y las necesidades de todas las partes (tal como se indica en el apartado 4.1.2) que confían en sus servicios de auditoría y de certificación, y no solamente las de sus clientes. |
|
| 10.1.3 Revisión por la dirección |
|
| Para la aplicación de los requisitos de la Norma ISO 9001, el organismo de certificación debe incluir como información de entrada para la revisión por la dirección, la información relativa a las apelaciones y quejas pertinentes que provengan de los usuarios de las actividades de certificación. |
|
| 10.1.4 Diseño y desarrollo |
|
| Para la aplicación de los requisitos de la norma ISO 9001, en el desarrollo de un nuevo esquema de certificación del sistema de gestión, o adaptar uno existente a circunstancias especiales, el organismo de certificación debe asegurarse de que las orientaciones dadas en la Norma ISO 19011, y que es apropiado para situaciones de terceros, se incluye como una entrada para el diseño. |
|
| 10.2 OPCIÓN 2 – REQUISITOS GENERALES DE SISTEMAS DE GESTIÓN |
|
| El organismo de certificación debe establecer, documentar, implementar y mantener un sistema de gestión que sea capaz de apoyar y demostrar el logro coherente de los requisitos de esta Norma Internacional. |
|
| La alta dirección del organismo de certificación debe establecer y documentar las políticas y los objetivos para sus actividades. La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo y la implementación del sistema de gestión de acuerdo con los requisitos de esta Norma Internacional. La alta dirección debe asegurarse de que las políticas son entendidas, implementadas y mantenidas en todos los niveles de la estructura organizativa del organismo de certificación. |
|
| La alta dirección del organismo de certificación debe designar a un miembro de la dirección, quien, independientemente de otras responsabilidades, debe tener la responsabilidad y autoridad para:
a) asegurar que los procesos y los procedimientos necesarios para el sistema de gestión se establecen, implementan y mantienen, e |
|
| b) informar a la alta dirección sobre el desempeño del sistema de gestión y de cualquier necesidad de mejora. |
|
| 10.2.1 Manual del sistema de gestión |
|
| Todos los requisitos aplicables de esta Norma Internacional deben estar contemplados en un manual o en documentos asociados. El organismo de certificación debe asegurar que el manual y los documentos asociados pertinentes están accesibles a todo el personal pertinente. |
|
| 10.2.2 Control de los documentos |
|
| El organismo de certificación debe establecer procedimientos para controlar los documentos (internos y externos) que se refieren al cumplimiento de esta Norma Internacional. Los procedimientos deben definir los controles necesarios para:
a) aprobar los documentos en cuanto a su adecuación antes de su emisión, |
|
| b) revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente, |
|
| c) asegurarse de que se identifican los cambios y el estado de revisión en vigor de los documentos |
|
| d) asegurarse de que las versiones pertinentes de los documentos aplicables se encuentran disponibles en los lugares de uso, |
|
| e) asegurarse de que los documentos permanezcan legibles y fácilmente identificables, |
|
| f) asegurarse de que se identifican los documentos de origen externo y se controla su distribución, y |
|
| g) prevenir el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón. |
|
| 10.2.3 Mantenimiento y destrucción de documentos de carácter sensible |
|
| El organismo de certificación debe establecer e implementar procedimientos para asegurar que los documentos y registros de carácter confidencial sobre protección y la información y los datos derivados de las auditorías como notas de auditoría de clientes están a salvo en todo momento y se archivan y posteriormente son destruidos teniendo en cuenta debidamente la clasificación de seguridad existente. |
|
| Los documentos, datos y registros de carácter sensible de seguridad sólo se pondrán a disposición del personal del organismo de certificación y otros externos a la entidad de certificación en una necesidad de conocimiento por los que están cubiertos por el nivel adecuado de habilitación de seguridad.
NOTA La documentación puede estar en cualquier forma o tipo de medio. |
|
| 10.2.4 Control de los registros |
|
| El organismo de certificación debe establecer procedimientos para definir los controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición de sus registros relativos al cumplimiento de esta Norma Internacional. |
|
| El organismo de certificación debe establecer procedimientos para la retención de los registros por un período coherente con sus obligaciones contractuales y legales. El acceso a estos registros debe ser coherente con los acuerdos de confidencialidad.
NOTA Para los requisitos relativos a los registros de los clientes certificados véase también el apartado 9.9. |
|
| 10.2.5 Revisión por la dirección |
|
| La alta dirección del organismo de certificación debe establecer procedimientos para revisar su sistema de gestión a intervalos planificados para asegurar su continua, conveniencia, adecuación y eficacia, incluyendo las políticas y los objetivos declarados, relativos al cumplimiento de esta Norma Internacional. Estas revisiones deben llevarse a cabo al menos una vez al año. |
|
| 10.2.5.1 Información de entrada para la revisión |
|
| La información de entrada para la revisión por la dirección debe incluir información relativa a:
a) los resultados de las auditorías; |
|
| b) la retroalimentación de los clientes y partes interesadas relativa al cumplimiento de esta Norma Internacional; |
|
| c) el estado de las acciones preventivas y correctivas, |
|
| d) las acciones de seguimiento provenientes de revisiones por la dirección previas, |
|
| e) el cumplimiento de los objetivos, |
|
| f) los cambios que podrían afectar al sistema de gestión, y |
|
| g) las apelaciones y las quejas. |
|
| 10.2.5.2 Resultados de la revisión |
|
| Los resultados de la revisión por la dirección deben incluir decisiones y acciones relativas a:
a) la mejora de la eficacia del sistema de gestión y de sus procesos; |
|
| b) la mejora de los servicios de certificación en relación con el cumplimiento de esta Norma Internacional, y |
|
| c) la necesidad de recursos. |
|
| 10.2.6 Auditorías internas |
|
| 10.2.6.1 El organismo de certificación debe establecer procedimientos para las auditorías internas a fin de verificar que cumple los requisitos de esta Norma Internacional y que el sistema de gestión se implementa y se mantiene de manera eficaz.
NOTA La Norma ISO 19011 proporciona directrices para la realización de auditorías internas. |
|
| 10.2.6.2 Se debe planificar un programa de auditoría teniendo en cuenta la importancia de los procesos y áreas a ser auditadas, así como los resultados de las auditorías anteriores. |
|
| 10.2.6.3 Las auditorías internas deben realizarse al menos una vez al año. La frecuencia de las auditorías internas se puede reducir si el organismo de certificación puede demostrar que su sistema de gestión continúa estando implementado eficazmente de acuerdo con esta Norma Internacional y tiene una estabilidad probada. |
|
| 10.2.6.4 El organismo de certificación debe asegurarse de que:
a) las auditorías internas sean realizadas por personal calificado conocedor de la certificación, la auditoría y los requisitos de esta Norma Internacional, |
|
| b) los auditores no auditen su propio trabajo, |
|
| c) el personal responsable del área auditada sea informado del resultado de la auditoría, |
|
| d) cualquier acción resultante de las auditorías internas se tome de manera oportuna y apropiada, y |
|
| e) cualquier oportunidad de mejora sea identificada. |
|
| 10.2.7 Acciones correctivas |
|
| El organismo de certificación debe establecer procedimientos para identificar y gestionar las no conformidades en sus operaciones. El organismo de certificación también debe, en los casos que sea necesario, tomar acciones para eliminar las causas de las no conformidades con el fin de prevenir su recurrencia. Las acciones correctivas deben ser apropiadas a las consecuencias de los problemas detectados. Los procedimientos deben definir requisitos para:
a) identificar no conformidades (por ejemplo a partir de quejas y auditorías internas), |
|
| b) determinar las causas de las no conformidades, |
|
| c) corregir las no conformidades, |
|
| d) evaluar la necesidad de acciones para asegurarse de que las no conformidades no vuelvan a ocurrir, |
|
| e) determinar e implementar de manera oportuna, las acciones necesarias, |
|
| f) registrar los resultados de las acciones tomadas, y |
|
| g) revisar la eficacia de las acciones correctivas. |
|
| 10.2.8 Acciones preventivas |
|
| El organismo de certificación debe establecer procedimientos para tomar acciones preventivas con el fin de eliminar las causas de no conformidades potenciales. Las acciones preventivas tomadas deben ser apropiadas al probable efecto de los problemas potenciales. Los procedimientos de acciones preventivas deben definir requisitos para:
a) identificar no conformidades potenciales y sus causas, |
|
| b) evaluar la necesidad de emprender acciones para prevenir la ocurrencia de no conformidades, |
|
| c) determinar e implementar la acción necesaria, |
|
| d) registrar los resultados de las acciones tomadas, |
|
| e) revisar la eficacia de las acciones preventivas tomadas.
NOTA Los procedimientos de acciones correctivas y preventivas no necesariamente tienen que estar por separado. |
|
| Anexo A (Informativo)
Guía para el proceso de determinación de días auditor |
|
| Anexo B (normativo)
Criterios para organizaciones con multiples sitios |
|
| B.1 Definiciones
B.1.1 Organización de multiples sitios
B.1.1.1 Una organización con múltiple sitio se define como aquella que suministra servicios en la cadena de suministro desde más de una localización. |
|
| B.1.1.2 Tal organización no debe ser una entidad única jurídica, pero todos los sitios deben tener una relación contractual o jurídica con la oficina central de la organización y deben estar sujetos a un sistema común de gestión de seguridad en la cadena de suministro, el cual es definido, establecido y sujeto a seguimiento continuo por parte de la oficina central. Esto significa que la oficina central tiene el derecho de implementar acciones correctivas cuando sea necesario en cualquier sitio. Cuando sea aplicable, esto debe estar descrito en el acuerdo entre la oficina central y los sitios.
Ejemplos de organizaciones múltiples sitios son:
organizaciones que operan con franquicias
compañías de servicios con una red de distribución/comercialización, terminales, otros sitios y logística que desarrolla procesos similares y opera con los mismos procedimientos;
compañías con múltiples sucursales y/o sitios operacionales que suministran el mismo servicio. |
|
| B.2 Criterios de eligibilidad para la organización
B.2.1 Las amenazas de seguridad son únicas para cada sitio operativo; por consiguiente todos los sitios operativos incluidos en el alcance de la certificación/registro una organización deben ser sujeto de auditoría. La organización debe haber realizado una evaluación de riesgos y amenazas para cada sitio y por consiguiente debe implementar los controles operacionales. Igualmente, las amenazas a la seguridad aplicables para los sitios no operativos, tales como aquellos que proporcionan servicios administrativos de soporte, también son únicos pero por la naturaleza de las actividades pueden presentar un riesgo bajo a la seguridad de la cadena de suministro. (Todos los sitios operativos deben ser sujeto de auditorías de certificación/registro y los riesgos presentados por otros sitios no operativos deben ser evaluados y auditados proporcionalmente a aquellos riesgos). |
|
| B.2.2 No obstante, hay dos situaciones donde se puede aceptar alguna flexibilidad de las auditorias de sitio a sitio. Esto se describe en el numeral B.2.2.1 |
|
| B.2.2.1 Cuando los servicios de la cadena de suministro son ofrecidos por todos los sitios y todas las actividades son sustancialmente las mismas y son desarrolladas de acuerdo con los mismos métodos y procedimientos, puede reducirse el número de días auditor para algunos alcances para algunos sitios operados por la organización. Aunque, para todos los sitios, las amenazas especificas deben ser identificadas y sujetas a una evaluación de riesgos por la organización y auditadas por el organismo de certificación/registro durante una auditoria en sitio con el fin de reducir la auditoria, los siguientes criterios pueden aplicar: |
|
| B.2.2.1.1. El sistema de gestión de seguridad en la cadena de suministro deber administrado centralmente y operado de acuerdo con un proceso controlado centralmente para realizar las evaluaciones de seguridad y los planes de seguridad en curso. También es sujeto de un sistema central para recoger y revisar los datos de los sitios relacionados con:
– documentación del sistema local y cambios en el sistema
– revisión por la dirección
– objetivos, metas y programas de mejoramiento
– evaluación de las quejas, incidentes, acciones correctivas.
Todos los sitios relevantes (incluyendo la función de administración central) debe ser sujeto del programa de auditoría interna y evaluación de los resultados de auditoría y cada localización debe haber sido auditada de acuerdo con el programa previo a que se iniciara la evaluación del organismo de certificación/registro.
La organización debe haber desarrollado una evaluación de las amenazas y riesgos a la seguridad para cada sitio y debe por consiguiente implementar los controles operacionales. |
|
| B.2.3 La organización debe demostrar su capacidad para recoger y analizar los datos(incluyendo, pero no limitado a los ítem mencionados a continuación) de todos los sitios incluyendo la oficina central y su autoridad y capacidad para iniciar los cambios organizacionales, si se requiere:
– los cambios en el sistema y en su documentación
– Revisión por la Dirección
– objetivos, metas y programas de mejoramiento
– evaluación de las quejas, incidentes, acciones correctivas
– planificación de la auditoría interna y evaluación de resultados
La organización debe haber desarrollado una evaluación de los riesgos específicos y amenazas a la seguridad, por lo que debe implementar los controles operacionales y debe ser capaz de demostrar por medio de registros la eficacia de esos controles para todos los sitios incluyendo aquellos que no están sujetos a las auditorias de certificación/registro. |
|
| B.2.4 Si existe cualquier desviación de la duración de los días de auditoría descritos en el anexo A o el enfoque “ todos los sitios deben ser auditados por el organismo de certificación/registro” para cualquier localización está incluido en el alcance de la certificación/registro, el organismo de certificación por consiguiente debe documentar e implementar procedimientos para aplicar que apliquen un enfoque de evaluación de riesgos para justificar cualquier desviación de la duración de las auditorias y el enfoque “todos los sitios deben ser auditados” prescrito en esta norma internacional. Tales consideraciones por el organismo de certificación/registro deben incluir:
– sectores o actividades específicas en el alcance (por ejemplo, con base en la evaluación de riesgos o complejidad asociada con aquel sector o actividad)
– tipo y tamaño de los sitios elegibles para la evaluación multisitio
– variaciones en la implementación local del sistema de gestión de seguridad en la cadena de suministro tales como la necesidad para considerar regulaciones locales, características de desempeño, estadísticas de amenazas de terrorismo y crimen, el uso de planes de seguridad en el sistema de gestión de cadena de suministro que se dirigen a actividades diferentes o sistemas regulatorios o contractuales diferentes. |
|
| B.2.5 Los registros conservados por la(s) localización(es) central(es) deben demostrar la eficacia de los sistemas de gestión y su implementación para todas las localizaciones, incluyendo aquellas no visitadas por el organismo de certificación/registro. |
|
| B.3 Criterios de eligibilidad para el organismo de certificación/registro
El organismo de certificación/registro debe suministrar información a la organización sobre los criterios establecidos antes de iniciar el proceso de evaluación, y no debería continuar con el, si no se cumplen cualquiera de los criterios. Antes de iniciar el proceso de evaluación, debe informar a la organización que el certificado/registro no será emitido si durante la evaluación se detectan no conformidades en relación con estos criterios. |
|
| B.3.1 Revisión del Contrato
B.3.1.1 Los procedimientos del organismo de certificación/registro deberían asegurar que la revisión inicial del contrato identifica la complejidad y escala de las actividades cubiertas por el sistema de gestión de seguridad en la cadena de suministro, sujeto a la certificación/registro y que cualquier diferencia entre los sitios se toma como base para la determinación del nivel de muestreo. |
|
| B.3.1.2 El organismo de certificación/registro debe identificar la función central de la organización la cual es parte contractual del desempeño de la certificación/registro. |
|
| B.3.1.3 El organismo de certificación/registro debería revisar, en cada caso individual, en qué grado, los sitios de una organización producen o suministran la misma clase de productos o servicios de acuerdo con los mismos procedimientos y métodos. Solo después de un examen positivo por el organismo de certificación/registro, de que todos los sitios propuestos para su inclusión en el ejercicio de múltiple sitio podría ser el procedimiento de muestreo aplicado para los sitios individuales. |
|
| B.3.1.4 Si todos los sitios de una organización de servicio donde la actividad sujeto de la certificación/registro es desarrollado, no están listos para presentarse al mismo tiempo a una certificación/registro, el organismo de certificación/registro debe solicitar a la organización que se le informe por anticipado de los sitios que desean ser incluidos en el certificado. |
|
| B.3.2 Evaluación
B.3.2.1 El organismo de certificación/registro debe tener procedimientos documentados para tratar con las evaluaciones bajo el procedimiento de múltiple sitio. Tales procedimientos deben establecer el medio que el organismo de certificación/registro satisface por si mismo, entre otras cosas, que el sistema de gestión de seguridad en la cadena de suministro que gobierna las actividades de todos los sitios, es actualmente aplicado a todos los sitios y que se cumplen todos los criterios establecidos en el numeral B.2. |
|
| B.3.2.2 Si más de un equipo auditor está involucrado en la evaluación/seguimiento de la red, el organismo de certificación/registro debería designar un único líder del equipo de auditoría cuya responsabilidad es la de consolidar los hallazgos de todos los equipos auditores y elaborar un informe. |
|
| B.3.3 Tratamiento de las No Conformidades
B.3.3.1 Cuando se detectan no conformidades en cualquier sitio individual, ya sea por auditoría interna de la organización o a partir de la auditoria del organismo de certificación, se debería investigar para determinar si otros sitios pueden estar afectados. Por consiguiente, el organismo de certificación/registro debería solicitar a la organización, la revisión de las no conformidades para determinar si indican que una deficiencia global del sistema es aplicable o no a todos los sitios. Si se encuentra que es así, la organización debería ser capaz de demostrar al organismo de certificación/registro, la justificación para limitar sus acciones de seguimiento |
|
| B.3.3.2 El organismo de certificación/registro debe solicitar evidencia de estas acciones y aumentar su frecuencia de muestreo hasta que se cumpla y restablezca el control. |
|
| B.3.3.3 En el momento del proceso de decisión, si cualquier sitio tiene una no conformidad, la certificación/registro puede ser negada a toda la red hasta que las acciones correctivas satisfactorias en las situaciones en las que la actividad se encuentre no conforme, pudiera afectar adversamente la conformidad de las operaciones en todos los sitios. |
|
| B.3.3.4 No se admite que, con el fin de superar el obstáculo presentado por la existencia de una no conformidad en un sitio individual, la organización busque excluir del alcance los sitios problemáticos durante el proceso de certificación/registro. |
|
| B.3.4 Certificados/Registros
B.3.4.1 Se debe emitir un certificado/registro individual con el nombre y la dirección de la oficina central de la organización. Se debe emitir una lista don todos los sitios s los cuales se les ha emitido la certificación/registro ya sea en el certificado mismo o en un anexo o de lo contrario referidos en el certificado/registro. El alcance u otra referencia en el certificado/registro debe aclarar que las actividades certificadas/registradas son desempeñadas por la red de sitios en la lista. Si el alcance de la certificación/registro de los sitios es emitido solamente como parte del alcance general de la organización, su aplicabilidad a todos los sitios debe ser establecida claramente en el certificado/registro y en cualquier anexo. |
|
| B.3.4.2 Un subcertificado/registro puede ser emitido a una organización para cada uno de los sitios cubiertos por la certificación/registro bajo la condición de que contiene el mismo alcance, o un sub-alcance de aquel alcance, y debe incluir una referencia clara al certificado/registro principal. |
|
| B.3.4.3 El certificado/registro será cancelado en su totalidad, si la oficina central o cualquiera de los sitios no cumple(n) con los criterios necesarios para mantener la certificación/registro(ver el numeral B.3.2) |
|
| B.3.4.4 Se debe conservar una lista actualizada de los sitios por parte del organismo de certificación/registro. Para este efecto, el organismo de certificación/registro debe solicitar a la organización que le informe sobre el cierre de cualquier sitio. Si existe falla para suministrar esa información, esto será considerado por el organismo de certificación/registro como un uso indebido del certificado/registro y actuara consecuentemente de acuerdo con nuestros procedimientos. |
|
| B.3.4.5 Sitios adicionales se pueden adicionar a un certificado existente como resultado de actividades de evaluación/seguimiento. El organismo de certificación/registro debe tener un procedimiento para la adición de nuevos sitios. |
|
| Anexo C (normativo)
Educación, Experiencia Laboral, Experiencia en auditorías del auditor y duración de las capacitaciones
Ver la tabla C.1 |
|
| Anexo D (normativo)
Requisitos de competencia del auditor
Este anexo define los requisitos de competencia para los auditores del sistema de gestión de la seguridad para la cadena de suministro. |
|
| D.1 Metodologías y herramientas de evaluación de riesgos
Los auditores del sistema de gestión de la seguridad para la cadena de suministro deben tener conocimiento y habilidad en:
– amenazas de interpretación a cadenas de suministro
– análisis, metodologías y técnicas de evaluación de riesgos
– herramientas de evaluación de seguridad incluyendo investigaciones de seguridad en escena y documentación típica emitida
– Gestión, mitigación y control de riesgos |
|
| D.2 Requisitos e interpretación de la auditoría
Los auditores de sistemas de gestión de la seguridad para la cadena de suministro, deben tener conocimiento y habilidad en:
El contenido, estructura y aplicación de las normas de sistemas de gestión de seguridad en la cadena de suministro o de especificaciones asociadas |
|
| El propósito y los objetivos de las normas o de otras especificaciones de sistemas de gestión de la seguridad para la cadena de suministro |
|
| Las definiciones usadas en las normas y en las especificaciones asociadas sobre sistemas de gestión de la seguridad para la cadena de suministro |
|
| La aplicabilidad de las normas y de las especificaciones asociadas de sistemas de gestión de la seguridad para la cadena de suministro para varias etapas de la cadena de suministro. |
|
| D.3 Regulaciones gubernamentales, intergubernamentales, iniciativas y programas que impactan la seguridad de la cadena
Al final de este módulo, los auditores deben ser capaces de demostrar su conocimiento y habilidad en: |
|
| La historia de las diferentes regulaciones e iniciativas |
|
| Los procedimientos de aduana que afectan la seguridad |
|
| Los requisitos mínimos de los documentos y de los manifiestos de carga |
|
| Regulaciones, iniciativas y programas gubernamentales e intergubernamentales que impactan la seguridad |
|
| Metodologías de evaluación de riesgos específicos en la cadena de suministro |
|
Se comenta