Informe Auditoria Interna

REPORTE DE AUDITORÍA INTERNA
EMPRESA NOVA SEGURIDAD PRIVADA LTDA - NOVASEP Auditoría Ciclo 2019
Criterios:
ISO 28000:2008
ISO 9001:2015
ISO 14001:2015
ISO 45001:2018
Elementos, disposiciones y lineamientos del Sistema de Gestión Organizacional
Documentación asociada al SIG
Requisitos legales y reglamentarios asociados
Alcance:
Servicio de vigilancia privada fija, móvil, con arma y sin arma, escolta a
personas, mercancías, apoyo con medios tecnológicos a nivel nacional.
Delimitación Física:
Oficinas centrales, Medellín – Antioquia.
Oficinas satélite Barranquilla y Bogotá D.C.
Área de influencia de los servicios prestados por la organización, en Colombia.

NOVASEP
CICLO 2019
1. OBJETIVOS ESPECÍFICOS
1. Determinar la conformidad de los procesos del sistema de gestión de acuerdo con los
requisitos de las normas NTC ISO 28000:2008, NTC ISO 9001:2015, NTC ISO 14001:2015,
NTC ISO 45001:2018.
2. Evaluar la capacidad de los procesos del Sistema de Gestión para asegurar el cumplimiento
de los requisitos legales y reglamentarios aplicables al alcance del sistema de gestión y las
normas del sistema de gestión NTC ISO 28000:2008, NTC ISO 9001:2015, NTC ISO
14001:2015, NTC ISO 45001:2018.
3. Determinar la eficacia del sistema de gestión para asegurar que la organización puede tener
expectativas razonables con relación al cumplimiento de los objetivos especificados.
4. Determinar la eficaz implementación y mantenimiento del Sistema de Gestión.
5. Identificar oportunidades de mejora en el Sistema de Gestión.

NOVASEP
CICLO 2019
2. DESARROLLO DE ACTIVIDADES, PRUEBAS DE AUDITORÍA Y CONSIDERACIONES

GENERALES.
 Revisión de la información suministrada por la organización, realizada a 2019.12.14 con el

propósito de establecer análisis de adecuación respecto a los requisitos de los referenciales
NTC – ISO 28000:2008; NTC – ISO 9001:2015; NTC – ISO 14001:2015; NTC ISO
45001:2018, encontrándose conforme y siendo empleada como base para la planificación
del trabajo de campo.
 Reunión de apertura realizada a 2019.12.16 y ejecución de la auditoría al sistema de gestión,

realizada in situ y a distancia entre los días 16 y 24 de diciembre de 2019 en ejercicio que
incorporó cambios menores frente a la planificación inicialmente establecida, pero satisfizo
el alcance previsto respecto a los procesos a evaluar y enfoques a adoptar.
 La auditoría incluyó análisis exploratorio de evidencias por muestreo mediante estudio de

documentos y registros, desarrollo de entrevistas y observación de las actividades
desarrolladas por la organización dentro del alcance establecido, trabajo desarrollado in situ
en las oficinas administrativas de la ciudad de Medellín, en los servicios abajo listados y a
distancia con los servicios también listados abajo.
 El alcance evaluado corresponde a los procesos abajo listados que configuran el sistema de
gestión organizacional en correspondencia con:
Servicio de vigilancia privada fija, móvil, con arma y sin arma, escolta a personas,
mercancías, apoyo con medios tecnológicos a nivel nacional.
Servicios evaluados:
In Situ, AMVA:
C&F INTERNATIONAL S.A.S

Prestación de Servicios de Vigilancia Privada en modalidades fija, móvil, con
arma no letal y apoyo con medios tecnológicos. Aplica Seguridad en la Cadena
de Suministros.
1 servicio con arma no letal 24 horas permanentes

1 coordinador de seguridad
CONSORCIO ABURRA SUR

Prestación de servicios de vigilancia privada en modalidades fija, móvil, con
arma no letal y sin arma y apoyo con medios tecnológicos.
5 servicios con arma no letal 24 horas permanente

5 servicios sin arma 24 horas permanente
3 servicios con arma no letal 12 horas nocturnas de lunes a viernes y 24 horas
sábados, domingos y festivos
1 coordinador de seguridad

NOVASEP
CICLO 2019
ELECTRICAS DE MEDELLIN - INGENIERIA Y SERVICIOS S.A.S

arma letal, no letal y sin arma, y apoyo con medios tecnológicos.
Aplica seguridad en la cadena de suministro en la unidad de servicio de la

ciudad de Medellín puesto Guayabal.
1 servicio sin arma 8 horas nocturnas permanente.
Guayabal: 1 servicio con arma 12 horas diurno de lunes a viernes

1 servicio con arma no letal 8 horas diurno los días sábado
INTERASEO S.A.S E.S.P

arma letal, no letal, sin arma, y apoyo con medios tecnológicos.
METROPLUS SA
Prestación de servicios de vigilancia privada en modalidades fija, móvil, sin
arma y apoyo con medios tecnológicos.
2 servicios sin arma 24 horas permanente.
A Distancia:
RECAUDOS INTEGRADOS S.A.S

arma, escolta a personas, mercancías y apoyo con medios tecnológicos.
 Se observa que la técnica de muestreo incorpora un riesgo en los resultados derivado de la

incertidumbre que supone no evaluar la totalidad de las actividades y la documentación
asociada (duda razonable de auditoría). La inferencia asociada se soporta en los
lineamientos de la norma International Standard on Auditing (ISA) 530, “Audit Sampling and
Other Means of Testing”.
 El ejercicio de auditoría se orientó bajo el esquema que presenta el ciclo de mejora continua
PHVA.
 La auditoría abordó evaluación frente a la capacidad de cumplimiento por la organización

sobre los requisitos contemplados en las normativas legales aplicables, en correspondencia
a la naturaleza de las actividades desarrolladas. Se dispuso de los elementos que permiten
concluir acerca de gestionar el marco legal y reglamentario, dado que en términos generales
se evidenció la necesidad de actualizar la matriz legal, lo que compromete la planificación
de cumplimiento, la difusión a través de los diferentes niveles y funciones pertinentes, el
seguimiento a la implementación y la evaluación de cumplimiento (PHVA de la gestión legal).
 El ejercicio de auditoría verificó la gestión de la organización para cumplir los requisitos

legales asociados a las amenazas a la seguridad, los aspectos ambientales y peligros
ocupacionales vinculados a los servicios, las actividades y procesos de la organización.

NOVASEP
CICLO 2019
 Se garantizó la comprensión clara y precisa del objeto y alcance de la auditoría a llevarse a

cabo, a efectos de encarar adecuadamente la recopilación de los antecedentes normativos
necesarios.
 El equipo auditor se aseguró de que el referido legajo normativo se encontrara completo

(expediente legal SST, comunicaciones y actos desde las autoridades pertinentes, matrices
legales QHSE), con toda la normativa que se hallaba vigente durante el período sobre el que
se planificó auditar. Asimismo, se avocó a la recopilación de aquellos elementos de juicio
que se consideraron válidos y suficientes para conocer sustancialmente a la organización y
su operación.
 El equipo auditor avocó al estudio pormenorizado del marco legal que regula la actividad
sujeta a control, a efectos de conocer adecuadamente el deber ser en cuanto a los
procedimientos, funciones y objetivos de la organización, debiendo determinar la
competencia específica asignada por las normas legales.
 El plan de muestreo se diseñó de forma tal que le permitiera al auditor obtener evidencia
suficiente, competente y pertinente a fin de asegurarse en forma razonable respecto del
funcionamiento general de la organización. La orientación de los planes de muestreo
obedeció al juicio asociado a los riesgos y oportunidades significativos previamente
identificados para la mejora, la complejidad e interacción de los procesos de la organización
y los elementos del sistema de gestión. No se abordó estimación estadística.
 Durante la auditoría se aplicaron pruebas y se marcaron los énfasis señalados por la

organización cliente, definidos en las reuniones de planificación previas entre el auditor líder
y el equipo auditor interno.
 Como criterios de auditoría se emplearon los referenciales NTC – ISO 28000:2008; NTC –
ISO 9001:2015; NTC – ISO 14001:2015; NTC - ISO 45001:2018 así como la documentación
preparada por la organización en respuesta a los requisitos de las normas.
 Se revisó la gestión de la organización ante las manifestaciones desde los grupos de interés,
así como la data y los principales rasgos que soportan la eficacia del sistema de gestión en
los procesos evaluados.
 Determinación del alcance de la Auditoría:
La organización cliente determinó los procesos a ser auditados y el recurso tiempo asociado,
considerando criterios tales como:
• Evaluación cabal del SIG.

• Procesos que requieren mejoras y/o cambios.
• Acciones resultantes de las salidas del SIG.
• Manifestaciones de los clientes y partes interesadas.
• Exclusividad de servicios.
• Dispersión geográfica.
• Condiciones de riesgo potencial para el sistema de gestión.

NOVASEP
CICLO 2019
Así, se determinaron los siguientes énfasis:
Adopción de los enfoques y orientaciones presentes en la estructura de alto

nivel para sistemas de gestión acorde a ISO/IEC Directives, Part 1
Consolidated ISO Supplement — Procedures Specific to ISO.
Determinación del estado y la importancia de los procesos a auditar:
Los procesos de auditoría interna tienen limitaciones de tiempo para su

ejecución, por lo tanto, es necesario establecer en la planificación aquellos
procesos y aquellas áreas donde es necesario poner atención a la hora de
planificar la auditoría interna.
El estado es la situación del proceso o área a auditar.
Primer Criterio: Esta situación (el estado) puede establecerse si es un proceso

o área de bajo o regular desempeño donde se está realizando mejoras y se
hace necesario incluirlos en la auditoría para el seguimiento de los avances de
la implementación de estas.
Segundo Criterio: Puede ser también un proceso o área que ha provocado

problemas recientemente o hay evidencias de su no conformidad. Por el
contrario, pudiera haber procesos o áreas de buen desempeño que pudieran
ser auditadas según el tiempo disponible.
En cuanto a la importancia, se deben considerar aquellos procesos que tienen

decisiva importancia en la eficacia del SIG. Sin embargo, hay procesos o áreas
que pudieran tener un cierto impacto en la satisfacción de los requisitos del
producto, que pudieran ser auditados o no según sea necesario.
En definitiva, los tiempos asignados en la auditoría dependieron de las

exigencias del cliente, de las necesidades de la organización y de los riesgos
identificados asociados al programa de auditorías.
Dado que existen procesos y áreas que no han tenido problemas y han estado
conformes, podría tomarse la decisión de no auditarlos en aras de otros
procesos y áreas que, por su estado actual y su importancia, tienen prioridad.
Algunos de ellos pudieran no presentar problemas, pero sí son procesos clave

para la calidad (en otras palabras, sumamente importantes) entonces, aun
habiendo estado conformes, de todas maneras, se incluyen.
La selección de los procesos y las áreas a auditar se reflejan en los registros

de la planificación previa, una vez considerados los objetivos de gestión, los
problemas de desempeño, sumado a los énfasis que la organización desea
imprimir al ejercicio (especial atención al proceso de integración normativa).
De otra parte, se señala que este informe no incluye la evaluación de los

requisitos asociados a la auditoría interna (inscrita en el proceso Gestión

NOVASEP
CICLO 2019
Integral) y a la revisión por la dirección (inscrita en el proceso Direccionamiento

Estratégico).
 La auditoría revisó los argumentos presentados por la organización en el Manual del

Sistema Integrado de Gestión MGI – 001 respecto a la declaración de no aplicabilidad
de los requisitos asociados a las cláusulas 7.1.5.2 Trazabilidad de las mediciones y
8.3 Diseño y desarrollo de los productos y servicios. Respecto al primer asunto, la
organización argumenta:
Este requisito no aplica para el Sistema de Gestión de NOVA SEGURIDAD PRIVADA

LTDA., por cuanto para verificar la conformidad del servicio con los requisitos
especificados, no se utilizan equipos para seguimiento, inspección, medición y
ensayo. Los elementos (armas, radios, detectores de metales, equipos de medios
tecnológicos) que se utilizan para la prestación del servicio) se cubren por el numeral
7.1.3 Infraestructura.
Al respecto se establece la siguiente discusión:
ISO 9001:2015 Sistemas de Gestión de la Calidad. Requisitos, establece en los

siguientes términos el requisito:
Cuando la trazabilidad de las mediciones es un requisito, o es considerada por la organización como

parte esencial para proporcionar confianza en la validez de los resultados de la medición, el equipo de
medición debe:
a) calibrarse o verificarse, o ambas, a intervalos especificados, o antes de su utilización, contra

patrones de medición trazables a patrones de medición internacionales o nacionales; cuando no
existan tales patrones, debe conservarse como información documentada la base utilizada para la
calibración o la verificación;
…….
En tanto ISO 18788:2016 Sistema de Gestión para Operaciones de Seguridad Privada.

Requisitos con orientación para uso, establece en los siguientes términos el requisito:
Cuando sea necesario para asegurar resultados válidos, el equipo de medición se debería calibrar o
verificarse a intervalos específicos, o antes de su uso, con respecto a estándares de medición que se
puedan trazar hasta normas de medición internacionales o nacionales. Cuando no existan tales
normas, se debe registrar la base que e utiliza para la calibración.
Así, resulta razonable aceptar la declaración de no aplicabilidad. No obstante, se señala a la

organización que debe ajustar su redacción, limitándola específicamente a equipos de medición
(la redacción señala equipos de seguimiento, inspección, medición y ensayo). Es decir, el
requisito 7.1.5.2 sólo es pertinente para equipos de medición.
3.4.9 Medición: Proceso (3.3.5) para determinar un valor.

ISO 9000:2015
Para garantizar la conformidad de los servicios actualmente prestados la organización no

requiere determinar magnitudes. No se emplean armas de electrochoque (Taser) las que están
restringidas por la superintendencia de seguridad; no se emplean arcos de detección RX, y los
detectores de metales limitan su actuar a determinar la presencia o no de un objeto metálico.

NOVASEP
CICLO 2019
Por último, se señala que el sistema de gestión en sus dimensiones SST y Ambiental demanda
mediciones (evaluaciones médicas ocupacionales, alcoholemia, mediciones ambientales y
sanitarias, psicosensometría, poligrafías con sensores piezoeléctricos, etc), respecto a las
cuales se debe garantizar conformidad metrológica como un requisito en la compra de dichos
servicios.
Respecto a la declaración de no aplicabilidad de los requisitos asociados a la cláusula 8.3 diseño

y desarrollo de los productos y servicios, se avala el argumento presentado, pero se señala la
necesidad de ajustar la redacción dado que formalmente la organización no posee hoy un
proceso de Gestión Tecnológica. La Gestión TIC´s e inscribe en el proceso Gestión
Administrativa y Financiera.
 La auditoría abordó la evaluación de puntos clave dentro de los procesos contemplados en

el programa de auditoría de auditoría.
Fecha Elaboración
2019.12.09
Programa
Evaluar el grado de implementación y apropiación de los requisitos de las
Objetivo General normas ISO 28000:2008 ISO 9001:2015 ISO 14001:2015 e ISO
45001:2018
1. Determinar la conformidad de los procesos del sistema de gestión

de acuerdo con los requisitos de las normas NTC ISO 28000:2008,
NTC ISO 9001:2015, NTC ISO 14001:2015, NTC ISO 45001:2018.
2. Evaluar la capacidad de los procesos del Sistema de Gestión para

asegurar el cumplimiento de los requisitos legales y reglamentarios
aplicables al alcance del sistema de gestión y las normas del
sistema de gestión NTC ISO 28000:2008, NTC ISO 9001:2015,
NTC ISO 14001:2015, NTC ISO 45001:2018.
Objetivos Específicos
3. Determinar la eficacia del sistema de gestión para asegurar que la
organización puede tener expectativas razonables con relación al
cumplimiento de los objetivos especificados.
4. Determinar la eficaz implementación y mantenimiento del Sistema

de Gestión.
5. Identificar oportunidades de mejora en el Sistema de Gestión.

NOVASEP
CICLO 2019
La totalidad de los procesos que configuran el sistema de gestión

organizacional en correspondencia al siguiente alcance:
Servicio de vigilancia privada fija, móvil, con arma y sin arma,

escolta a personas, mercancías, apoyo con medios tecnológicos a
Alcance nivel nacional
Delimitación Física:
Oficinas centrales Medellín – Antioquia.
in situ Servicios AMVA
A distancia oficinas Bogotá DC, Barranquilla.
A distancia servicios zonas Norte y Centro - Occidente.
ISO 28000:2008
ISO 9001:2015
ISO 14001:2015
ISO 45001:2018
Criterios de Auditoría
Elementos, disposiciones y lineamientos del Sistema de Gestión
Organizacional
Documentación asociada al SIG
Requisitos legales y reglamentarios asociados
Análisis exploratorio de evidencias por muestreo mediante estudio de la

información documentada, desarrollo de entrevistas y observación de las
Metodología
actividades desarrolladas por la organización, in situ, a distancia, con y
sin interacción humana.
Responsable
Proceso Para Auditar/Requisitos Fecha Equipo Auditor
Proceso
Direccionamiento Estratégico
ISO 28000: 4.1, 4.2, 4.3.3, 4.3.4, 4.3.5, 4.4.1, 4.4.3, 4.5.1, 2019.12.16
W.J. Bermúdez R.
4.5.2, 4.6 08:00 AM Marco Arias
ISO 9001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 6.3, 7.1, 9.1, 9.3, 10. J.W. Jaramillo R.
ISO 14001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 7.1, 9.1, 9.3, 10. 12:00 M
ISO 45001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 7.1, 9.1, 9.3, 10.
Gestión Comercial
ISO 28000: 4.3.1, 4.3.2, 4.4.3, 4.5.2, 4.5.3 2019.12.16
ISO 9001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.2, 6.3, 7.1.2, 8.1, 8.2, 8.5.1, W.J. Bermúdez R. Marco Arias
8.5.5, 8.6, 9.1, 10 13:00 PM
J.W. Jaramillo R. Juliana Hinestroza
ISO 14001: 6.1, 6.2, 8.1, 8.2, 9.1, 10
ISO 45001: 6.1, 6.2, 8.1, 8.2, 9.1, 10
15:00 PM
Planeación de Compras y Logística

ISO 28000: 4.3.1, 4.4.6, 4.5.2, 4.5.3 2019.12.16
W.J. Bermúdez R. Juan P. Marulanda
ISO 9001: 6.1, 7.1, 8.1, 8.4, 9.1, 10 15:00 PM
ISO 14001: 6.1.2, 8.1, 8.2, 9.1, 10 J.W. Jaramillo R. Juan C. Saldarriaga
ISO 45001: 6.1.2, 8.1, 8.2, 9.1, 10 18:00 PM

NOVASEP
CICLO 2019
Gestión Integral
ISO 28000: 4.3.1, 4.3.2, 4.3.3, 4.4.4, 4.4.6, 4.4.7, 4.5.2, 4.5.3
ISO 9001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.1.2, 6.1.3, 6.1.4, 6.2, 7.4.2, 2019.12.17
8.1, 8.2, 9.1.1, 9.1.2, 10 W.J. Bermúdez R.
ISO 14001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.1.2, 6.1.3, 6.1.4, 6.2, 7.4.2, 08:00 AM Mayra Toscano
8.1, 8.2, 9.1.1, 9.1.2, 10 J.W. Jaramillo R.
ISO 45001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.1.2, 6.1.3, 6.1.4, 6.2, 7.4.2,
18:00 PM
8.1, 8.2, 9.1.1, 9.1.2, 10
Gestión Operaciones
ISO 28000: 4.3.1, 4.3.2, 4.4.6, 4.4.7, 4.5.2, 4.5.3 2019.12.18
ISO 9001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 6.3, 7.1, 7.4, 8.1, 8.2, W.J. Bermúdez R.
08:00 AM Andrés Burdano
8.4, 8.5, 8.6, 8.7, 9.1, 10. J.W. Jaramillo R.
ISO 14001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 7.1, 8.1, 8.2, 9.1, 10. 18:00 PM
ISO 45001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 7.1, 8.1, 8.2, 9.1, 10.
Gestión Operaciones
ISO 28000: 4.3.1, 4.3.2, 4.4.6, 4.4.7, 4.5.2, 4.5.3 2019.12.19
ISO 9001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 6.3, 7.1, 7.4, 8.1, 8.2, W.J. Bermúdez R.
08:00 AM Andrés Burdano
8.4, 8.5, 8.6, 8.7, 9.1, 10. J.W. Jaramillo R.
ISO 14001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 7.1, 8.1, 8.2, 9.1, 10. 18:00 PM
ISO 45001: 4.1, 4.2, 4.3, 4.4, 5, 6.1, 6.2, 7.1, 8.1, 8.2, 9.1, 10.
Gestión Administrativa y Financiera

ISO 28000: 4.3.1, 4.3.2, 4.4.4, 4.4.6, 4.4.7, 4.5.1, 4.5.2, 4.5.3 2019.12.20
W.J. Bermúdez R.
ISO9001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.2, 6.3, 7.1, 7.2, 7.3, 7.4, 7.5, 08:00 AM Juan P. Marulanda
8.1, 8.2, 9.1, 10 J.W. Jaramillo R.
ISO14001: 5.1, 5.2, 5.3, 7.1, 7.2, 7.3, 7.4, 7.5, 8.1, 8.2, 9.1, 10 12:00 M
ISO45001: 5.1, 5.2, 5.3, 7.1, 7.2, 7.3, 7.4, 7.5, 8.1, 8.2, 9.1, 10
Gestión del Talento Humano

ISO 428000: 4.4.1, 4.4.2, 4.4.3 2019.12.20
W.J. Bermúdez R.
ISO 9001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.2, 6.3, 7.1.2, 7.2, 7.3, 7.4, 13:00 PM Natalia Soto
7.5, 9.1, 10 J.W. Jaramillo R.
ISO 14001: 5.3, 7.2, 7.3, 7.4, 9.1, 10 15:00 PM
ISO 45001: 5.3, 7.2, 7.3, 7.4, 9.1, 10
Gestión Integral 2019.12.20

ISO 28000: 4.3.1, 4.3.2, 4.3.3, 4.4.6, 4.4.7, 4.5, 4.6 W.J. Bermúdez R.
ISO 9001: 6.1, 6.2, 6.3, 7.1, 9.1.1, 9.2, 9.3, 10.1, 10.2, 10.3 15:00 PM Mayra Toscano
ISO 14001: 6.1, 6.2, 7.5, 8.1, 8.2, 9.1, 9.2, 9.3, 10 J.W. Jaramillo R.
ISO 45001: 6.1, 6.2, 7.5, 8.1, 8.2, 9.1, 9.2, 9.3, 10
18:00 PM
Gestión del Talento Humano

ISO 428000: 4.4.1, 4.4.2, 4.4.3 2019.12.21
ISO 9001: 4.1, 4.2, 5.1, 5.3, 6.1, 6.2, 6.3, 7.1.2, 7.2, 7.3, 7.4,
7.5, 9.1, 10
08:00 AM W.J. Bermúdez R. Natalia Soto
ISO 14001: 5.3, 7.2, 7.3, 7.4, 9.1, 10 10:00 AM
ISO 45001: 5.3, 7.2, 7.3, 7.4, 9.1, 10

ISO 28000: 4.3.1, 4.3.2, 4.3.3, 4.4.6, 4.4.7, 4.5, 4.6 W.J. Bermúdez R.
ISO 9001: 6.1, 6.2, 6.3, 7.1, 9.1.1, 9.2, 9.3, 10.1, 10.2, 10.3 10:00 AM Mayra Toscano
ISO 14001: 6.1, 6.2, 7.5, 8.1, 8.2, 9.1, 9.2, 9.3, 10
ISO 45001: 6.1, 6.2, 7.5, 8.1, 8.2, 9.1, 9.2, 9.3, 10
12:00 M

ISO 28000: 4.3.1, 4.3.2, 4.3.3, 4.4.6, 4.4.7, 4.5, 4.6 W.J. Bermúdez R.
ISO 9001: 6.1, 6.2, 6.3, 7.1, 9.1.1, 9.2, 9.3, 10.1, 10.2, 10.3 08:00 AM Mayra Toscano
ISO 14001: 6.1, 6.2, 7.5, 8.1, 8.2, 9.1, 9.2, 9.3, 10
ISO 45001: 6.1, 6.2, 7.5, 8.1, 8.2, 9.1, 9.2, 9.3, 10
12:00 M

NOVASEP
CICLO 2019
3. RIESGOS ASOCIADOS
A propósito de los riesgos identificados en la fase de planificación:
Riesgos Asociados al Ciclo de Auditoría

RIESGO Estimación
Descripción del Riesgo Control Existente
Impacto Frecuencia Riesgo
Inadecuada planeación y ejecución

del ciclo de auditoría interna,
teniendo en cuenta: Procedimiento de Auditorías
internas
• Mala definición del objetivo y Moderado Baja Bajo
alcance de la auditoría. Metodología para selección de
• Incorrecta selección de procesos procesos a auditar
a auditar.
• Incorrecta selección de auditores.
Procedimiento de Auditorías
internas
No cumplimiento de los objetivos de Definición del plan de auditoría

la auditoría debido a una mala teniendo en cuenta el objetivo
Moderado Baja Bajo
estructuración e implementación del del programa de auditoría y el
plan de auditoria análisis de
la documentación del proceso
Seguimiento al cumplimiento del

plan de auditoría
Procedimiento de Auditorías
No cumplimiento del alcance de la internas
auditoría debido a una mala
asignación del tiempo requerido para Preparación detallada de la Moderado Baja Bajo
la evaluación y análisis a profundidad auditoría, incluye el análisis
del proceso a auditar previo de la documentación del
proceso
Fijación, con el cliente, del nivel

de confianza y precisión de los
resultados de la auditoría; a
partir de los anterior, selección
de la muestra con criterio de
Insuficiencia de muestras para
importancia frente al elemento
concluir. Consiste en que la cantidad
evaluado y al objetivo de la
de muestras analizadas no sean las Alto Grave Alto
auditoría.
suficientes para asegurar la fiabilidad
Es importante tener en cuenta
de la auditoría.
que en la medida en que
aumente el tamaño de la
muestra se incrementa de forma
proporcional de tiempo de la
auditoría.

NOVASEP
CICLO 2019
Asignación y determinación de
Desviación de los objetivos de la
prioridades y un juicioso
auditoría. Consiste en apartarse de
seguimiento al cumplimiento de Alto Grave Alto
los objetivos trazados para el alcance
los objetivos establecidos y los
previsto.
entregables pactados.
Los controles establecidos fueron suficientes para asegurar una adecuada gestión sobre los
riesgos identificados, lo que se evidencia en su no materialización.

NOVASEP
CICLO 2019
4. CONSIDERACIONES GENERALES.
El reto para las organizaciones que ejecutan o contratan operaciones de seguridad va más allá de
la respuesta y el reporte de los incidentes. Las organizaciones se deberían comprometer en un
proceso exhaustivo y sistemático para gestionar preventivamente los riesgos que se asocian con sus
operaciones. Esto exige la creación de un proceso de gestión continuo, dinámico e interactivo que
sirva para promover una cultura de respeto a los derechos humanos, las leyes y las libertades
fundamentales, al tiempo que brinda a los clientes un nivel de servicio que apoye su misión.
Un sistema de gestión es un proceso dinámico y multifacético en el cual cada elemento interactúa

con un conjunto estructurado de unidades funcionales. Este proporciona un marco de referencia que
se basa en la premisa de que las partes componentes de un sistema se pueden comprender mejor
cuando se visualizan en el contexto de las relaciones entre ellas y con otros sistemas y no de manera
aislada. La única manera de comprender e implementar a cabalidad los elementos de un sistema de
gestión es entender las partes en relación con el todo. Esto produce un proceso interactivo en el cual
el establecimiento del contexto y la política, la evaluación del riesgo, la implementación, operación,
evaluación y revisión del riesgo no son una serie de pasos consecutivos, sino una red de funciones
que interactúan.
Las organizaciones que ejecutan o contratan operaciones de seguridad funcionan inherentemente

en circunstancias de incertidumbre y riesgo. Es necesario que ellas gestionen los riesgos para el
cliente, al tiempo que también gestionan el riesgo para la organización y las partes interesadas y las
comunidades que sufren su impacto. Es necesario que la organización alcance sus objetivos tácticos,
operativos y empresariales dentro del contexto de la protección de la vida y la propiedad de sus
clientes, de las personas que trabajan en su nombre y de las comunidades locales, al tiempo que
respeta los derechos humanos. El respeto a los derechos crea valor para el negocio y, por lo tanto,
es intrínsecamente un objetivo de negocio que exige debida diligencia con respecto a los derechos
humanos para lograr la misión operativa y al tiempo que se respetan los derechos humanos se cumplen
las leyes locales, nacionales e internacionales. El reto es valorar, evaluar y tratar el riesgo y la
incertidumbre con el fin de gestionarlos de manera efectiva en términos de costo, al tiempo que se
satisfacen los objetivos operativos y estratégicos de la organización y el cliente. La evaluación del
riesgo proporciona una comprensión clara del ambiente de riesgo con el fin de que la organización
identifiquen los riesgos y tome decisiones informadas para priorizar el tratamiento de estos.
4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO.
Para tener una comprensión de la organización y de su contexto se requieren algunas herramientas;

es decir, algunos procesos. Y esto es lo que explora el auditor en primera instancia, que haya algún
proceso para la determinación de estas cuestiones del contexto y que del resultado de este
proceso se obtenga información fiable.
El sexto principio de la calidad establece una toma de decisiones basada en la evidencia. Esto
significa que las decisiones que se toman basadas en el análisis de los hechos a partir de información
fiable aportan mayor probabilidad de obtener los resultados deseados. En otras palabras, minimizan
el riesgo a la hora de conseguir lo que se pretende. El segundo elemento que explora un auditor es
que esta información fiable haya sido utilizada para la toma de decisiones, concretamente, para
el establecimiento de políticas, objetivos y procesos.
La estrategia empresarial es el conjunto de acciones diseñadas, desarrolladas e implantadas para

lograr uno o varios de los objetivos planteados por la organización en un plazo determinado de

NOVASEP
CICLO 2019
tiempo. Esta estrategia requiere de análisis de datos previos de la empresa y la competencia, análisis
del entorno, análisis de riesgos, discusión de alternativas y toma de decisiones.
Los pasos para implantar la estrategia son los siguientes:
1. Diseñar la estrategia.
2. Alinear a la organización.
3. Ejecutar la estrategia.
4. Evaluar y adaptar la estrategia.
El diseño de la estrategia se realiza en función de las decisiones tomadas y de los riesgos que la
empresa es capaz de asumir. Después del diseño, normalmente realizado desde la alta dirección,
se procede a alinear a toda la organización para que la cumpla. Posteriormente, se ejecuta la
estrategia, se evalúa y se adapta, para un posterior rediseño.
El riesgo es cualquier situación o hecho que amenaza a una organización de alcanzar sus objetivos
planteados. La Gestión de Riesgos es el proceso de analizar de forma sistemática todos los
posibles escenarios de situaciones no deseadas antes de que ocurran y diseñar metodologías que
reduzcan, transfieran o eliminen el impacto de dichos riesgos.
Riesgos estratégicos
Los riesgos estratégicos son aquellos que tienen más consecuencias en la capacidad de la
organización para ejecutar su estrategia, lograr sus objetivos de negocio, construir y proteger valor
para la empresa y sus accionistas. Este foco estratégico no pretende identificar todos los riesgos a
los que se enfrenta la organización, sino identificar aquellos que sean más importantes para su
capacidad de lograr y realizar su estrategia y alcanzar los objetivos de negocio esenciales.
La Gestión de Riesgos debe concebirse como una herramienta que pueda apoyar la toma de
decisiones de los directivos de una forma proactiva, considerando los riesgos y la incertidumbre, la
posibilidad de futuros sucesos y los efectos sobre los objetivos planteados.
Así, es de prioritaria importancia la revisión de la metodología de identificación, estimación y gestión

del riesgo, siendo evidente que los criterios para la determinación de la severidad asociada deben
ser conceptualizados desde el escenario de capacidad económica. La zona de apetito del riesgo y
la gobernanza asociada debe ser definida por la gerencia general y comunicada a la organización.
Al respecto:
La actual estimación del riesgo no refleja un escenario realista de la organización dada la

equívoca interpretación de los criterios para valorar su severidad.
Frente al segundo ejercicio estratégico, a saber, la gestión de los grupos de interés debe observarse
que las empresas existen y operan en un entorno en el que las relaciones con varios actores son
cada vez más importantes. Las colaboraciones con los grupos de interés han evolucionado, desde
intentos ad hoc de empresas individuales hasta prácticas de establecimiento de relaciones en
colaboraciones intersectoriales y con varios grupos de interés.
A través de los compromisos con los grupos de interés, las empresas pueden acceder al
conocimiento y los recursos de estas partes interesadas. De este modo, representan un mecanismo
para investigar los temas en cuestión, generar innovación y hacer frente a desafíos complejos.

NOVASEP
CICLO 2019
El desafío actual es cómo gestionar y poner en práctica estas relaciones de manera que puedan
promoverse los cambios necesarios para poder enfrentarse a los retos de futuro, tanto en la empresa
como en la sociedad en general.
La gestión de los vínculos con los grupos de interés no se acaba en la descripción del entorno
relacional de las organizaciones. Requiere de una compleja jerarquización de esos grupos de interés
sobre la base de diferentes aspectos. No se trata de dilucidar quiénes son los grupos de interés de
la organización o de inventariarlos, sino de determinar en qué situación están respecto de la misma,
de uno de sus proyectos, o de uno de sus problemas.
“La empresa define quién es la sociedad para ella (que no es toda), cómo la impacta y cómo
quisiera impactarla (que no es de todo), en consulta, si quiere (aunque debería) con esa
sociedad, y cómo quiere y puede gestionar estos impactos (en función de su capacidad)”.
Al respecto:
Frente a la metodología de relacionamiento estratégico conviene la complementariedad que

considere las diferentes perspectivas y puntos de vista frente a todos los grupos de interés y
el diálogo bidireccional que posibilite la definición de los asuntos materiales asociados.
No se identifica una clara diferenciación entre necesidades, expectativas y requisitos.
4.2 LIDERAZGO.
Para poder alinear a la organización, el primer paso es que la organización tenga claro el rumbo
hacia el cual se dirige, y lo comunique. En muchas ocasiones por diversas razones no se comunica
la estrategia, no se comunica bien, o simplemente se da por hecho “que la gente lo debería saber y
entender” con la misma facilidad con la que la alta dirección lo ve, lo cual generalmente es un error.
Si las personas no se encuentran trabajando en los objetivos de la organización lo más seguro es

que estén perdiendo el tiempo, o quizás requieran de la mano firme del líder para mantener el curso
indicado. Cuando los trabajadores desconocen la visión de la organización, todo su potencial laboral
se enfoca solamente en su realización personal, es decir, en alcanzar sus propios ideales; el
empleado trabaja en pro de buscar su propio beneficio y vive al día, porque probablemente sus
esfuerzos estén radicados solo en la retribución económica y no en el beneficio que la organización
pueda conseguir.
La alineación estratégica son las acciones de gestión organizacional que permiten que el recurso
humano se dirija como un conjunto unificado a los objetivos estratégicos que la organización quiere
conseguir.
Al respecto:
No se evidenció – desde las entrevistas con el personal operativo – una definición y

comunicación clara desde la dirección acerca de los pasos que deben ser llevados a cabo
por la organización, ni sobre los resultados pretendidos.

NOVASEP
CICLO 2019
4.3 PLANIFICACIÓN.
Como ya se señaló, quizá el más álgido punto se corresponde con la definición e implementación de
las herramientas de identificación, estimación y gestión de los riesgos y las oportunidades. Esta se
ubica como la más prioritaria tarea de la gerencia.
No se estiman los riesgos asociados a las necesidades y expectativas de los grupos de interés. No
se identifican y estiman los riesgos legales ambientales relevantes.
La eficacia de la gestión del riesgo dependerá de su integración en la gobernanza de la organización,

incluyendo la toma de decisiones, por lo que debe ser revisado y ajustado – e integrado – el Manual
de Riesgos Organizacional. Así mismo conviene una más adecuada preparación de responsables y
ejecutores, considerando la sensible misión de asistir a la organización en integrar la gestión del
riesgo en todas sus actividades y funciones significativas.
La norma ISO 31000:2018 refuerza el liderazgo de la alta dirección en el sistema de gestión, dándole
un enfoque de arriba hacia abajo. Es decir, desde el nivel de gobierno hasta el nivel de gestión. Por
tanto, se trata de crear valor, de utilizar la gestión de los riesgos como herramienta de seguimiento
y control y como apoyo en la toma de decisiones, con objeto de reducir la incertidumbre frente al
logro de los objetivos. Así, se debe replantear el mapa de riesgos estableciendo un ahínco mayor en
el nivel estratégico – táctico, privilegiando la gestión del riesgo desde un enfoque de procesos bien
concebidos y articulados a la estrategia.
Bien reza ISO 9001 (5.1.1)
La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de

gestión de la calidad:
…
d) promoviendo el uso del enfoque a procesos y el pensamiento basado en riesgos
El Sistema de Gestión debe ser estructurado; es decir, tiene que presentar resultados consistentes,
que permitan comparar de manera tangible un periodo con otro, y observar el avance. Debe ser
además adaptable, de manera que se ajuste al contexto organizacional y esté íntimamente
relacionado con los objetivos, por lo que conviene una clara definición de los criterios para
conceptuar acerca de la eficacia lograda en la gestión del riesgo y la oportunidad.
Es importante distinguir entre un evento y un impacto:
Un evento es una situación, ocurrencia o cambio en un conjunto particular de

circunstancias que tiene el potencial de afectar el logro de los objetivos de una
organización. Un evento puede ser positivo o negativo.
Un impacto es el efecto potencial de un evento. Al igual que con un evento, un impacto

puede ser positivo o negativo.
Es importante tener en cuenta que el riesgo se trata del efecto de la incertidumbre y, por
lo tanto, se refiere al futuro, no a los eventos actuales.

NOVASEP
CICLO 2019
Los riesgos son distintos de los problemas o condiciones existentes. Los eventos o
problemas actuales son ciertos porque están ocurriendo ahora, y la organización ya
debería estar abordando dichos problemas.
El riesgo se define como el efecto de la incertidumbre sobre los objetivos. Es importante

tener en cuenta que el riesgo puede caracterizarse como una incertidumbre negativa,
comúnmente conocida como una amenaza, así como una incertidumbre positiva,
comúnmente conocida como una oportunidad.
La identificación de peligros ocupacionales y aspectos ambientales es limitada y no aborda las

particularidades presentes en los servicios.
La perspectiva de ciclo de vida no ha sido apropiada en su significado.
No es completa la identificación del marco legal y reglamentario HSE.
El programa de gestión Seguridad Pública representa más un marco teórico que una estructurada
estrategia que posibilite el logro de los objetivos pretendidos en esa materia.
La organización debe establecer, implementar y mantener programas para lograr sus objetivos en
cuanto a las operaciones de seguridad y el tratamiento del riesgo. Los programas se deben optimizar
y priorizar para controlar y tratar los riesgos asociados con sus operaciones, subcontratistas y cadena
de suministro. La organización debe establecer, implementar y mantener un proceso formal y
documentado para el tratamiento del riesgo que tome en consideración:
a) la eliminación de la fuente del riesgo conduce aplicable

b) la eliminación o reducción de la probable edad de un evento y sus consecuencias
c) la eliminación, reducción o mitigación de consecuencias perjudiciales
d) el compartir el riesgo con otras partes, incluso el seguro contra riesgos
e) la divulgación del riesgo a través de los activos y las funciones
f) la aceptación del riesgo o buscar oportunidades a través de decisiones informadas
g) la evitación o detención temporal de las actividades que dan origen al riesgo
La alta dirección debe valorar los beneficios y los costos de las operaciones para eliminar, reducir o
retener el riesgo.
Al respecto, es necesario que se revise y ajuste la arquitectura de los programas de gestión y sus
objetivos.
4.4 APOYO.
Cada organización debe definir las competencias que considere necesarias para desarrollar su
competencia distintiva y cumplir con su misión. Una vez definidas las competencias, la organización
debe diseñar un sistema de evaluación de éstas que permita detectar las carencias y necesidades
de desarrollo de sus directivos.
El proceso de desarrollo de competencias se compone de elementos externos e internos, que

interactúan dinámicamente y requieren un contexto adecuado. Las organizaciones que hayan
aprendido a evaluar y a desarrollar las competencias de sus directivos estarán más capacitadas para
afrontar los continuos retos que el entorno vaya presentando.

NOVASEP
CICLO 2019
Al respecto:
No en forma regular se evidenció una adecuada gestión sobre las competencias definidas
por la organización.
Respecto a las plataformas tecnológicas, los beneficios para la organización derivados de las TIC´s
van desde la simplificación administrativa al incorporar procesos que optimizan el flujo y la
transparencia de la información, hasta una integración más completa de actividades que crean un
verdadero valor para la cadena, logrando con ello más calidad y mejor desempeño.
Se identifica la habilitación de una plataforma adecuada para la gestión operacional (Visitrack). No

obstante, no se identifica una clara visión de futuro y estructura alineada de las TIC´s, lo que permitirá
crear procesos confiables, flexibles e innovadores que posibiliten que la organización tenga una
mejor y mayor conectividad con los ecosistemas de los negocios, promoviendo mejores rendimientos
y un más amplio posicionamiento. Debe priorizarse la habilitación de los recursos que posibiliten el
desarrollo de la estrategia TIC´s y la estructura que la soporte.
No se ha estructurado una estrategia orientada hacia la gestión del conocimiento organizacional.
4.5 OPERACIÓN.
No se garantiza, en forma regular, que las unidades tengan completa comprensión sobre su nivel de
aportación al logro de los resultados de la organización, ni la implicancia de abandonar los controles
previstos.
Respecto a la comprensión del mercado, no se identifican riesgos importantes; por el contrario,

fortalezas dada la proyección de la organización y la determinación sobre la habilitación de los
recursos demandados.
La gestión de abastecimientos exhibe importantes oportunidades de mejora asociadas a la aplicación

de sus mecanismos de control para limitar los riesgos asociados.
4.6 EVALUACIÓN DEL DESEMPEÑO.
No es visible, desde la organización, una comprensión holística de la gestión.
La estrategia de seguimiento, medición, análisis y evaluación no posee una estructura formal y en

consecuencia, no se ha desarrollado a cabalidad.
4.7 MEJORAMIENTO.
De los resultados globales se desprende que la organización tiene grandes oportunidades de

consolidar el mejoramiento. Se exhiben escollos que no posibilitan en forma regular capitalizar el
aprendizaje y garantizar que el flujo efecto – causa – solución se satisfaga.

NOVASEP
CICLO 2019
5. ASPECTOS DESTACADOS.
Los diferentes escenarios habilitados por la gerencia para hacer seguimiento al desempeño de la
gestión, entre los que destaca el comité gerencial, posibilitando así la oportunidad en el
emprendimiento de ajustes cuando así sea requerido, la discusión sobre temas de mejora y el poder
compartir conocimientos.
La orientación de la organización hacia la construcción y oferta de soluciones integrales e

innovadoras de seguridad contribuyendo a la gestión de problemáticas sociales desde la tecnología.
La decisión en torno a repensar el proceso de gestión comercial y dotarlo de una nueva estructura,
dándole mayor relevancia en procura de impulsar el logro de los resultados pretendidos para el
horizonte 2020 - 2025.
La lograda parametrización de la plataforma Visitrack en la modelación de flujos de trabajo y la

sistematización de las actividades de control y supervisión, lo que aporta a procesos fluidos y
trazables.
Las acciones emprendidas a fin de promover la participación efectiva de los líderes de proceso en la
tarea de revisión y actualización de la matriz de peligros y riesgos SST.
Los esfuerzos desde la organización en el propósito de garantizar la efectiva implementación del

enfoque de seguridad basada en el comportamiento, a fin de promover una gestión preventiva
basada en el control de actos y condiciones sub-estándar y fortalecer la cultura de seguridad
mediante un sentido de propiedad y responsabilidad de la seguridad de cada colaborador.
El grado de conciencia que va adquiriendo la organización en torno a la estructura y fortalecimiento

de la gestión de TIC´s como elemento clave para impulsar la estrategia. Al respecto, destaca la
habilitación reciente del Firewall para definir políticas de seguridad para garantizar más adecuados
niveles de seguridad en la red de la empresa.

NOVASEP
CICLO 2019
6. ASPECTOS POR MEJORAR
Dar continuidad y culminar la formulación de la estrategia 2020 - 2015, el mapa estratégico asociado
y su tablero de indicadores gerenciales para hacer seguimiento al desempeño de la estrategia, el
despliegue en los niveles táctico y operativo (alineación de objetivos). Al respecto, es recomendable
evaluar la necesidad de implementar herramientas como el scorecard para enlazar estrategias y
objetivos clave con desempeño y resultados. Si la organización desconoce, en términos concretos
cuales son los resultados que pretende alcanzar, existen pobres expectativas sobre su éxito
sostenido en el tiempo. Cuando los colaboradores desconocen la visión de la empresa, todo su
potencial laboral se enfoca solamente en su realización personal, es decir, en alcanzar sus propios
ideales; el empleado trabaja en pro de buscar su propio beneficio y vive al día, porque probablemente
sus esfuerzos estén radicados solo en la retribución económica y no en el beneficio que como parte
empresa se pueda conseguir.
La formulación de los procesos, particularmente aquel de Direccionamiento Estratégico y Gestión

Administrativa y Financiera merecen ser revisados y ajustados para garantizar que las actividades
allí descritas efectivamente se ajusten al foco pretendido. Al respecto, también merece que se revise
y ajuste el propósito pretendido por los procesos (objetivo del proceso) para presentarlo en función
de lo que la organización y su estrategia esperan de ellos, en lugar de describir su quehacer. Si el
objetivo está bien formulado, es más simple diseñar el proceso orientándolo a ese logro.
Merece un mayor énfasis la comunicación y la garantía de comprensión del modelo de riesgos, entre
el personal táctico. Se identifican oportunidades de mejoramiento en el nivel de comprensión y en la
asociación de la estrategia (derivada del contexto) con la realidad de los procesos.
La gestión del riesgo es parte de la gobernanza y el liderazgo y es fundamental en la manera en que

se gestiona la organización en todos sus niveles. Esto contribuye a la mejora de los sistemas de
gestión, por lo que conviene que desde la alta dirección se trabaje en el propósito de promover en
forma sistemática el pensamiento basado en el riesgo.
Garantizar que el ejercicio de identificación y estimación de riesgos sea una práctica recurrente
(pensamiento basado en el riesgo), considerando que no pudo ser evidenciado su establecimiento
en todos los niveles de la organización, lo que no garantiza su aplicación regular.
El riesgo puede entenderse y gestionarse de manera más efectiva si está claramente articulado. Esto
se puede lograr recordando las definiciones de riesgo al escribir las declaraciones de riesgo. Tener
una comprensión de los objetivos en riesgo también es clave. Se debe crear declaraciones de riesgo
concisas que sean ricas en información y relevantes para la situación y la audiencia para garantizar
que las declaraciones de riesgo tengan un impacto y respalden una gestión de riesgos efectiva.
La fórmula para escribir una declaración de riesgo es la siguiente:
Existe el riesgo de que ...

Porque…
Lo que podría resultar en ...
La primera parte ("Existe el riesgo de que") describirá qué es lo que podría

suceder.
La segunda parte ("Porque") le dice al lector por qué podría suceder. Esta es la

NOVASEP
CICLO 2019
parte esencial para calificar la probabilidad del riesgo, y también cuando se piensa
en formas de evitar o gestionar el riesgo.
La tercera parte ("Lo que podría resultar en") describe cuál podría ser la
consecuencia si ese riesgo se materializa para convertirse en un problema. Esto
es importante para calificar el impacto potencial del riesgo y también para diseñar
las estrategias para enfrentarlo”.
El trabajo que debe ser desarrollado hacia la definición de la estructura y transformación de procesos,
a fin de diseñar procesos de desempeño superior y crear un ambiente donde éstos florezcan. En las
transformaciones de procesos, como en la vida, saber dónde uno está y tener una hoja de ruta es
mejor que tropezar en la oscuridad.
El proceso comercial, en las etapas tempranas de concreción de nuevos clientes, debe considerar
la inclusión de procesos de participación y consulta con los demás procesos y especialmente con la
operación, a fin de identificar las situaciones que deben ser gestionadas para limitar los riesgos
presentes.
La gestión de los riesgos en la cadena de suministro, incluidos los subcontratistas y las fuerzas
locales sometidas al contrato, exige la comprensión de la cultura y el ambiente de dichas entidades,
así como el contexto total de la cadena de suministro. Cada nodo de una cadena de suministro de
la organización implica un conjunto de riesgos y procesos de gestión que es necesario manejar. Las
cadenas de suministro y el empleo de subcontratistas son partes integrales de las operaciones de
seguridad. Aunque existe interdependencia significativa dentro de una cadena de suministro, cada
nodo individual de una cadena es único en determinados aspectos; esta singularidad puede exigir
enfoques individualizados para la gestión de los riesgos implicados. Por lo tanto, para gestionar los
riesgos dentro de una cadena de suministro, es necesario que la organización identifique:
El rol de las organizaciones y los individuos en cada nivel tanto aguas arriba como
aguas abajo de su cadena o red de suministro;
La comprensión de las interdependencias y la infraestructura de soporte crítica para el

éxito de la misión;
La manera en que cada nodo juega un papel en agregar valor al desempeño de otros
elementos de la cadena, directa o indirectamente;
Determine cómo cada nodo tiene el potencial de contribuir al perfil de riesgo de la

organización, tanto positiva como negativamente;
Evaluar cómo cada nodo ejerce alguna influencia en el éxito para minimizar el riesgo
durante la implementación del sistema de gestión.
Cuando se lleve a cabo el análisis de los nodos, la organización debería reconocer que las decisiones
que se toman en nodos individuales tienen implicaciones potenciales en toda la cadena. Por lo tanto,
es necesario comprender y controlar los factores de riesgo en toda la cadena de suministro para la
implementación exitosa del sistema de gestión.
No puede garantizarse una efectiva gestión de la cadena de suministro del cliente, si se desconoce
el modelo de gestión del cliente mismo, los diferentes nodos y actores que lo componen, las

NOVASEP
CICLO 2019
responsabilidades de cada uno, las interrelaciones presentes y la implicancia de cada actor en el

logro de los resultados que el cliente pretende alcanzar.
En la gestión de la seguridad de la cadena logística, es necesario considerar los riesgos asociados

a los factores que están por fuera del control d la organización, tales como fallas en los equipos y
servicios suministrados externamente.
Es necesario, entre el personal clave, lograr diferenciar los concentos:

Riesgo para la seguridad y riesgo para la gestión de la seguridad.
Riesgo ambiental y riesgo para el sistema de gestión ambiental.
Riesgo ocupacional y riesgo para la gestión SST
Tal claridad posibilitará un adecuado mapeo de dichos riesgos y la priorización de su gestión.
Debe ser reforzado el conocimiento desde la instancia responsable de compras y logística, de los
instrumentos centrales de gestión HSE (matrices AA – IA – RA; Perspectiva de ciclo de vida; P/R y
Requisitos Legales Pertinentes), a fin de garantizar su consideración en el ejercicio cotidiano.
Conviene una más cercana aproximación al enfoque de perspectiva de ciclo de vida en la gestión
ambiental organizacional y su implicancia en la gestión, claridad no identificada.
Revisar y ajustar la metodología de identificación de aspectos ambientales, valoración de su

importancia (aspectos ambientales significativos), identificación y estimación de riesgos ambientales,
a fin de esclarecer las diferencias entre impacto y riesgo ambiental.
Repensar los programas ambientales, los que hoy no tienen la capacidad de reflejar la real
problemática ambiental de la organización.
Garantizar que en forma regular se dispone de información actualizada sobre la caracterización de

los residuos generados a fin de determinar la categoría de generador (Decreto 4741:2005 –
Resolución 1362:2007) y disponer de evidencia objetiva que soporte la no obligatoriedad de
inscripción.
Revisar y ajustar el manual de perfiles de cargo a fin de esclarecer y definir los niveles de autoridad
y responsabilidad frente a las decisiones clave del sistema de gestión.
Definir herramientas para evaluar el impacto que tienen los procesos comunicacionales definidos por
la organización para con las comunidades, a fin de establecer la pertinencia de estos, dentro de la
claridad que tiene la entidad de ser una empresa de base comunitaria.
Revisar y ajustar la metodología de evaluación del nivel de cumplimiento legal, a fin de garantizar
que el concepto reportado efectivamente refleje la realidad de la organización. Así, conviene precisar
las evidencias (aporte de evidencia objetiva) en las evaluaciones de cumplimiento legal, para
contribuir hacia ejercicios objetivos.
El enfoque de perspectiva de ciclo de vida en la gestión ambiental organizacional no ha trascendido

en forma suficiente y regular, por lo que se demanda un mayor esfuerzo en garantizar la
comunicación y comprensión de tal enfoque a través de la organización, a fin de contribuir a su
afincamiento y desarrollo efectivo.

NOVASEP
CICLO 2019
En la adopción de la perspectiva de ciclo de vida la gestión de compras y logística debe garantizar

una reflexión sobre la implicancia ambiental de sus decisiones y actuaciones, desde un ejercicio
regular y sistemático. No se ha apropiado un mecanismo que posibilite, regularmente, la evaluación
del impacto ambiental que acompaña al proceso.
Ajustar los controles específicos en la matriz de IPVRDC aplicables a las actividades desarrolladas
por los vigilantes, para dar visibilidad a la especificidad de su trabajo - y en especial su interacción
con los ecosistemas industriales - para asegurarse que los controles sean los adecuados.
Garantizar un adecuado nivel de comprensión de los criterios de compatibilidad físico - química de

los insumos de servicios generales, la interpretación de pictogramas y de hojas de seguridad, entre
el personal responsable, considerando que la auditoría reveló deficiencias al respecto.
Respecto a la gestión de crisis y la continuidad del negocio, se requiere trabajar en el diseño de

factores para prevenir o aminorar los resultados negativos de potenciales crisis y garantizar que los
mismos estén orientados a proteger a la organización y sus partes interesadas contra daños, lo que
además brinda una perspectiva única y crítica sobre las nuevas habilidades de gestión en las fases
prevención, respuesta, recuperación y aprendizaje.
Estrechar la capacidad de injerencia sobre los terceros bajo el control de la organización, a fin de
procurar una más adecuada alineación a las directrices HSE. Así mismo, dar célere continuidad al
mapeo del marco normativo y regulatorio pertinente a las actividades tercerizadas a fin de contribuir
hacia una gestión legal integral, cabal y adecuada que blinde a la organización.
Ante el identificado riesgo de compromiso de la continuidad derivado de eventos catastróficos,

conviene la formal documentación de las estrategias planteadas, lo que aportará hacia el
conocimiento desde las partes interesadas pertinentes y el desarrollo de las validaciones requeridas.
Garantizar que con una frecuencia razonable se revisen los análisis de riesgos de los clientes con
servicio de gestión de la seguridad de la cadena logística y que sean actualizados cuando las
circunstancias lo señalen pertinente, para que su resultado refleje la realidad del escenario a
enfrentar.
Requerir al cliente C&F International a fin de procurar mayor formalidad en la formulación de sus
requisitos, de suerte que se puedan ajustar los perfiles de cargo y consignas particulares a la realidad
del negocio, y que sus requisitos no vayan en contravía a la pretendida gestión de la seguridad.
Revisar en el puesto de servicio UEN Comercial de Edemsa, las limitaciones actuales de alcance
visual desde el vigilante sobre el gobierno de las tres puertas de acceso y muy especialmente de
aquellas para la logística de salida y la atención a los clientes visitantes.
Como aporte hacia la evaluación de la eficacia de la formación impartida - y en especial de las

competencias duras - conviene una formal aproximación y articulación con las metodologías de
evaluación de actitudes comportamentales como evidencia de interiorización. Referirse al modelo
Kirkpatrick.
Garantizar en los análisis de vulnerabilidades la participación de los líderes de proceso, para capturar
desde ellos la información retrospectiva asociada.
Conviene completar la articulación de los varios elementos dentro de la estructura de seguimiento,

medición, análisis y evaluación de los elementos clave dentro del sistema de gestión, para disponer

NOVASEP
CICLO 2019
de un único mapa comprensible y gestionable que permita advertir acerca del desempeño de la
organización y articular tales elementos con el balanced scorecard para dar visibilidad a la alineación
del sistema de gestión con la dirección estratégica del negocio.
Dar mayor visibilidad a la identificación de los riesgos asociados al entorno próximo de las sedes
operativas y a los riesgos comportamentales para disponer de un espectro más amplio de gestión.
Debe asignarse prioridad a la validación del plan de preparación y respuesta ante emergencias,
realizando simulacros y/o simulaciones con perspectiva integral, tarea aún no abordada.
Si bien el Retie no es normativa retrospectiva, los criterios de seguridad comprometida explican la

prioridad de asignar recursos en la corrección de eventuales deficiencias y/o la confirmación de la
aptitud del sistema de protección de la infraestructura eléctrica en las oficinas centrales, dado el
potencial de daño presente. No estuvo disponible para revisión el informe de ingeniería sobre la
malla de puesta a tierra (las oficinas centrales no disponen de apantallamiento).
Conviene se privilegien los recursos que posibiliten el desarrollo del plan de trabajo que viene
desarrollándose por el líder TIC´s, que señala muchos frentes de mejoramiento llamados a proyectar
estratégicamente el negocio, brechas que entre otras incluyen:
Se disponía de un equipo sumido en la operatividad, lo que no ha posibilitado la proyección

estratégica del proceso.
No existe, desde la organización, una efectiva diferenciación entre los conceptos

Sistemas y Tecnologías.
El proceso de las TIC´s se apoyada por sistemas fragmentados.
Se carece de una herramienta centralizada de gestión que soporte las validaciones remotas.
No hay proceso de renovación tecnológica.
Respecto al marco normativo y regulatorio pertinente a las TIC´s, no se ha definido

responsabilidad frente a su actualización y planificación de cumplimiento.
No en forma regular existen procedimientos relativos a la seguridad de los sistemas de

información.
No existen controles regulares para verificar la efectividad de las políticas de seguridad de la

información.
No existen programas de formación en seguridad de la información para los empleados y

terceros al servicio del proceso TIC´s.
No es regular la revisión de la organización de la seguridad informática periódicamente por

una empresa externa.
No se dispone de una clasificación de la información según la criticidad de la misma.

NOVASEP
CICLO 2019
No existe un canal y procedimientos claros a seguir en caso de incidentes de seguridad en

TIC´s.
Son débiles los protocolos que atienden la seguridad en equipos móviles.
La ubicación de los equipos sensibles no está de tal manera que se minimicen accesos
innecesarios.
No están establecidas las responsabilidades para asegurar una respuesta rápida,

ordenada y efectiva frente a incidentes de seguridad.
No existen protocolos para la eliminación de los medios informáticos. Algunos activos

pueden disponer de información sensible.
No se controlan las vulnerabilidades de los equipos.
No existe un procedimiento formal de respuesta ante incidentes.
No existe un marco de planificación para la continuidad del negocio.
No existen procedimientos de aplicación regular para el resguardo de los registros de la

organización.
No hay información formal que soporta el proceso TIC´s.
No existe un control efectivo sobre los tiempos de garantía, vencimientos, historial de los
equipos, etc.
La formalización de la designación del Director Operativo como responsable del sistema de gestión
de la seguridad de la organización.
Lograr un objetivo aval desde la ARL del autodiagnóstico frente al cumplimiento de los estándares
mínimos del SG SST, acordes a Resolución 0312:2019, para disponer de un diagnóstico realista que
posibilite la construcción de una hoja de ruta adecuada.
Revisar y ajustar el procedimiento de gestión comercial para incluir en él las varias condiciones que
pueden presentarse respecto a la concreción de las visitas previas como prerrequisito para la
formalización de propuestas, protocolización de contratos y formalización del inicio de servicios
(referirse a las inconsistencias en las fechas de los casos Madeflex y Metroplus.
Es importante revisar y mejorar las estrategias de identificación y reporte de acciones de mejora, a

fin de que estas se documenten y se pueda denotar un sistema que no solo funcione en pro de la
corrección.
Promover, en las funciones y niveles pertinentes, el conocimiento y aplicación de herramientas y

metodologías que faciliten adecuados análisis de causas a fin de modificar los procesos centrales y
los problemas del sistema de forma que se eviten problemas futuros, proyectando así al sistema de
gestión hacia el mejoramiento continuo.
Garantizar que se agotan todos los controles operacionales para prevenir el riesgo de caída en las
maniobras del almacén central d la sede Medellín. Disponer del certificado de trabajo en alturas no
es suficiente si no se adoptan otros controles (arnés, línea de vida, anclaje, etc.).
NOVASEP
CICLO 2019
Frente a los insumos de aseo y desinfección empleados en las tareas de servicios generales en las
sedes, adoptar los requisitos del sistema globalmente armonizado, dotar al personal involucrado de
las competencias requeridas para garantizar una adecuada interpretación y uso de la información
consignada en las hojas de dato de seguridad, las fichas toxicológicas, tarjetas de emergencia y
matrices de compatibilidad físico – química.
Repensar el punto de encuentro 1 en la sede Medellín, dada la actual disposición de proximidad a

la edificación, cerramiento y condición de aparcadero, lo que limita el propósito de su empleo
previsto en situaciones de emergencia. Así mismo, considerar la dotación de paletas y disposiciones
de control de tráfico en caso de ser requerida la habilitación de un punto de encuentro alterno.
Garantizar que sea una práctica regular el orden, buena presentación y aseo en los puestos de
trabajo y zonas comunes de la sede Medellín, en función de la prevención de accidentes y el
favorecimiento de condiciones insalubres.
Conviene la formalización de un protocolo para garantizar la correcta utilización de los dinamómetros

y disponer así de información fiable y mayores perspectivas de vida útil para el activo.
Dotar la sede Medellín de un sistema de iluminación autónoma de emergencias, dadas las actuales
condiciones y la necesidad de disponer de condiciones de evacuación segura en horario nocturno
de labores.
Establecer un juicioso estudio y emprender las acciones requeridas para garantizar cumplimiento
de las disposiciones en torno a la gestión documental acorde a la normatividad pertinente y de
obligatorio cumplimiento para organizaciones bajo supervisión de la SuperVigilancia.

NOVASEP
CICLO 2019
7. HALLAZGOS DE AUDITORÍA.
OBSERVACIÓN
DIRECCIÓN ESTRATÉGICA
ISO 9001: 4.1
ISO 14001: 4.1
ISO 45001: 4.1
Hecho: Evidencia:
Se requiere complementariedad del ejercicio de Presentación de Contexto 2019.

análisis de contexto, considerando que no se
evidenció, en toda su extensión, la formal
determinación de los asuntos internos y
externos pertinentes al sistema de gestión, que
permitan identificar oportunidades y riesgos
frente a los resultados previstos, considerando
que no ha sido completada la formulación de la
estrategia.
El análisis de contexto organizacional no incluye

una discusión sobre las condiciones ambientales
que pueden afectar o verse afectadas por la
organización.
OBSERVACIÓN
ISO 9001: 4.2
ISO 14001: 4.2
ISO 45001: 4.2
Hecho: Evidencia:
Se requiere complementariedad del ejercicio de NA-002 Matriz de Grupos de Interés.

análisis de contexto, considerando que no se
evidenció, en toda su extensión, la formal
identificación de los grupos de interés
pertinentes, de sus necesidades y expectativas,
de suerte que se puedan identificar y gestionar
los riesgos y oportunidades con capacidad de
impactar a la organización. No se identificaron
como grupos de interés a las compañías
aseguradoras, los medios de comunicación y los
grupos familiares de los trabajadores.
La matriz de grupos de interés no diferencia, en

forma regular, los conceptos de necesidad,
expectativa y requisito. No se determina cuáles
de las necesidades y expectativas se asocian a
requisitos.

NOVASEP
CICLO 2019
NO CONFORMIDAD
ISO 9001: 5.1
Hecho: Evidencia:
No se evidenció apropiado entre el personal de Entrevistas con el personal

la organización el uso del enfoque a procesos y administrativo.
el pensamiento basado en riesgos, y la relación
entre ambos enfoques.
OBSERVACIÓN
ISO 9001: 5.2
ISO 14001: 5.2
ISO 45001:5.2
ISO 28000: 4.2
Hecho: Evidencia:
Se requieren mayores esfuerzos en la Entrevistas con el personal operativo

divulgación y procura de comprensión de las de vigilancia.
directrices centrales dl sistema de gestión,
considerando que no se evidenció en forma
regular la apropiación desde el personal
operativo de la política de gestión integral y el
entendimiento de su contribución al logro de Declaración de la coordinadora SIG.
dichas declaraciones.
No se evidenció comunicada la política del SIG

a los contratistas.
NO CONFORMIDAD
ISO 9001: 5.3
ISO 14001: 5.3
ISO 45001:5.3
ISO 28000: 4.4.1
Hecho: Evidencia:
No en forma regular se determina el nivel de Perfiles de cargo:

autoridad frente a las decisiones clave del SIG Auditor Externo, Operador de Medios,
(autonomía en la toma de decisiones – Supervisor, Escolta
atribución).
Entrevista con la Dir T.H.

NOVASEP
CICLO 2019
NO CONFORMIDAD
ISO 9001: 6.1
ISO 14001: 6.1
ISO 45001: 6.1
ISO 28000: 4.4.1
Hecho: Evidencia:
No han sido formalmente determinadas las NA-003 Matriz de Valoración de

acciones para abordar los riesgos y Riesgos.
oportunidades derivados del análisis de las
necesidades, expectativas y requisitos de los
NA-002 Matriz de Grupos de Interés.
grupos de interés.
No han sido determinados los riesgos legales

ambientales, ni los riesgos ambientales
asociados al entorno físico en el que opera la
organización.
No han sido determinados los riesgos legales

ocupacionales, ni los riesgos para los resultados
previstos para la gestión SST.
No han sido determinados ni estimados los
riesgos relacionados con la gestión de la
seguridad.
La estimación (evaluación de los riesgos) no

refleja un escenario realista para la
organización, considerando la equívoca
aplicación de los criterios de valoración.
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 14001: 6.1.2
Hecho: Evidencia:
No se evidenció adoptado un enfoque de ciclo NA-007 Matriz Evaluación de

de vida en la identificación de los aspectos Aspectos Ambientales.
ambientales asociados a las actividades de la
organización.
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 45001: 6.1.2
Hecho: Evidencia:
La identificación de los peligros ocupacionales Matriz de IPVRDC

no consultó las particularidades presentes en los Servicios: Metroplus, Consorcio
lugares de prestación de servicios. Aburrá Sur, Edemsa – Interaseo La
Estrella, Madeflex.
Matriz de IPVRDC

NOVASEP
CICLO 2019
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 14001: 6.1.2
ISO 45001: 6.1.2
Hecho: Evidencia:
No se garantiza la completa identificación de los NA-007 Matriz Evaluación de

aspectos e impactos ambientales ni de los Aspectos Ambientales.
peligros y riesgos asociados a las tareas
tercerizadas, v. gr., fumigación, mantenimiento a Matriz de IPVRDC
medios de impresión.
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 14001: 6.1.3
ISO 45001: 6.1.3
Hecho: Evidencia:
No se garantiza en forma regular la oportuna y Matriz de Requisitos Legales y de otra
completa identificación de los requisitos legales índole
y reglamentarios HSE de pertinencia para la
organización, v. gr.:
Gestión Ambiental:
Decreto 926:2017
Resolución 1988:2017
Ley 1844:2017
Ley 1931:2018
Gestión SST:
Decreto 1333:2018
Decreto 923:2017
OBSERVACIÓN
GESTIÓN INTEGRAL
ISO 9001: 6.2
ISO 14001: 6.2
ISO 28000: 4.3.5
Hecho: Evidencia:
Deben ser repensados los programas de gestión Programa de Seguridad Pública
considerando que su estructura no incluye un Programa de Ahorro y uso eficiente
racional en torno a las metas pretendidas: del agua
Programa de Ahorro y uso eficiente
Qué hacer de la Energía Eléctrica
Quién lo hace Programa de calidad del aire
Cuándo lo hace
Con qué lo hace (recursos)
Cómo se evaluará el resultado

NOVASEP
CICLO 2019
OBSERVACIÓN
GESTIÓN INTEGRAL
ISO 9001: 6.3
Hecho: Evidencia:
Se requiere mayor rigor en la identificación de la Registro Gestión del Cambio Nueva

implicancia asociada a las situaciones sede Bogotá, no completamente
cambiantes frente al SIG, para facilitar que en diligenciado.
forma regular se aborda de forma planificada la
necesidad de cambios.
OBSERVACIÓN
GESTIÓN ADMINISTRATIVA Y FINANCIERA
ISO 9001: 7.1.3
ISO 14001: 7.1
ISO 45001: 7.1
ISO 28000: 4.4.6
Hecho: Evidencia:
Se requiere un mayor rigor en la gestión técnica, Rack del cuarto técnico

dado que no se evidenció una adecuada gestión
de peinado del cableado del rack en el cuarto
técnico, lo que puede conducir a errores en su
intervención, por el caos presente. No se
dispone además de adecuadas condiciones de
acondicionamiento ambiental y el desorden de
cableado limita el flujo de aire. Se identificó
además material ajeno (caja de cartón
corrugado) en el cuarto técnico. Así mismo, no
se evidenció una formal planificación de las
actividades de mantenimiento sobre los activos
tecnológicos propios. El mantenimiento se
desarrolla por condición y no preventivamente,
lo que compromete su confiabilidad y
disponibilidad.
NO CONFORMIDAD
GESTIÓN OPERATIVA
ISO 9001: 7.1.4
ISO 45001: 8.1
ISO 28000: 4.4.6
Hecho: Evidencia:
Se evidenció inoperativo el reflector destinado a Reconocimiento in situ y entrevista con

iluminar el acceso principal al patio custodiado el vigilante asignado.
de los clientes Edemsa – Interaseo en Ancón –
La Estrella. Igualmente, las luminarias en el
corredor de la ronda presentan deficiencias de
funcionamiento y/o cobertura.

NOVASEP
CICLO 2019
NO CONFORMIDAD
GESTIÓN DEL TALENTO HUMANO
ISO 9001: 7.1.6
Hecho: Evidencia:
No se evidenció una adecuada gestión sobre el Entrevista con la Dir. T.H.

conocimiento organizacional, que permita su
adecuado mapeo (determinación, inventario) de
los conocimientos esenciales, para determinar
cuáles de ellos se poseen, cómo están
soportados, cómo acceder a ellos, cómo
codificarlos si acaso son tácitos y poderlos poner
a disposición de la organización
NO CONFORMIDAD
ISO 9001: 7.2
ISO 14001: 7.2
ISO 45001: 7.2
ISO 28000: 4.4.2
Hecho: Evidencia:
No en forma regular se desarrollan las Hoja de Vida Auditor Externo –

evaluaciones de desempeño y por consiguiente Asdrúbal Paternina, para cuyo cargo
no se asegura el cumplimiento de las se definieron como requisito las
habilidades definidas como requisito de habilidades de liderazgo, motivación,
competencia. orientación al resultado, relaciones
interpersonales y trabajo en equipo.
No en forma regular se determinan los requisitos
de competencia en función de la educación,
Perfil Coordinadora SIG.
formación o experiencia apropiada,
contemplando las varias dimensiones del
sistema de gestión organizacional.
NO CONFORMIDAD
ISO 9001: 7.2
ISO 14001: 7.2
ISO 45001: 7.2
Hecho: Evidencia:
Las evaluaciones asociadas a las acciones Capacitaciones:

formativas no se orientan hacia la determinación Seguridad Vial, manejo defensivo y
de la eficacia lograda. preventivo, agosto 2019.
Disposición responsable de residuos
sólidos, abril 2019.

NOVASEP
CICLO 2019
OBSERVACIÓN
ISO 9001: 7.4
ISO 14001: 7.4
ISO 45001: 7.4
ISO 28000: 4.4.3
Hecho: Evidencia:
Revisar y ajustar la planificación de las Matriz de Comunicaciones

comunicaciones internas y externas dado que la
matriz no considera el quién comunica, cuándo
comunica y cómo se comunica la información
pertinente. Así mismo, no se tienen
formalmente determinados los criterios de
sensibilidad de la información confidencial.
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 9001: 7.5
ISO 14001: 7.5
ISO 45001: 7.5
ISO 28000: 4.4.5
Hecho: Evidencia:
No en forma regular se asegura un adecuado Procedimiento de control documental.

control sobre la información documentada de Maestra de documentos.
origen externo.
NO CONFORMIDAD
GESTIÓN DE COMPRAS Y LOGÍSTICA
ISO 9001: 8.4
ISO 14001: 8.1
ISO 45001: 8.1
ISO 28000: 4.4.6
Hecho: Evidencia:
No se asegura la formal determinación y Comunicaciones con los proveedores

comunicación a proveedores y contratistas de la y contratistas:
información asociada a los requisitos para los La Gran Fortaleza
bienes y servicios que tienen impacto para el Mundial de
sistema de gestión (requisitos de seguridad, impermeables Emi
calidad, SST y ambiental). Dotaciones
Miguel Caballero
Marquillas y
accesorios
AdTech
Entrevista con equipo de compras.

NOVASEP
CICLO 2019
NO CONFORMIDAD
GESTIÓN DE COMPRAS Y LOGÍSTICA
ISO 9001: 8.4
ISO 14001: 8.1
ISO 45001: 8.1
ISO 28000: 4.4.6
Hecho: Evidencia:
No en forma regular se asegura una adecuada Carpeta de los proveedores y

gestión sobre proveedores y contratistas. contratistas:
El Acuerdo de Seguridad para Asociados de Miguel

Negocio no fue evidenciado para el caso de Emi Caballero
Dotaciones, Interaseo S.A. ESP, Miguel Interaseo S.A.
Caballero, AdTech. ESP. Armería
El Pájaro
AdTech
EMI Dotaciones
Armería El Pájaro no posee evaluación de Entrevista con equipo de compras.
proveedor

NOVASEP
CICLO 2019
NO CONFORMIDAD
GESTIÓN OPERACIONAL
ISO 9001: 8.5
ISO 14001: 8.1
ISO 45001: 8.1
ISO 28000: 4.4.6
Hecho: Evidencia:
No en forma regular se desarrolla la provisión Verificación in situ de los espacios

del servicio bajo condiciones controladas, físicos en los que se desarrollan los
considerando: contratos.
No se asegura un adecuado cerramiento Programación Servicio Madeflex

perimetral de los predios custodiados para el
cliente Metroplus Sur.
El entorno de los predios custodiados para

el cliente Metroplus Sur carece de
condiciones seguras para el desplazamiento
de los vigilantes.
Se evidenció solución de Iodo vencida en el

botiquín del puesto de vigilancia del predio
Edemsa – Interaseo en la Estrella, Ancón.
Se evidenció estructura de cubierta con

deterioro y riesgo de colapso en proximidad
al puesto de vigilancia del predio Edemsa –
Interaseo en la Estrella, Ancón. Así mismo
se evidenció proliferación de maleza en el
entorno (rivera del río Medellín), entorno
deteriorado por daños ambientales
causados y ambiente contaminado de
VOC´s por pintura sin controles
operacionales.
Se evidenció programación de turno para los

vigilantes José Miguel Charris Charris y
Charles Ahumada Salas al punto de servicio
garita 8 (10 m de altura) del contrato
Madeflex Barranquilla no obstante, no
cumplen los requisitos de certificación para
trabajo en alturas.

NOVASEP
CICLO 2019
Se evidenciaron condiciones higiénico-

sanitarias y de seguridad locativa
desfavorables para el desarrollo seguro del
trabajo de vigilancia en el puesto de servicio
1, Metroplus Sur (proliferación de residuos
incluidos orgánicos en descomposición y
respel, proliferación de roedores, carencia
de orden y presentación, deficiencias en
conexiones eléctricas en contacto con
maderos, RCD esparcido por todo el predio
1, con exposición de puntas metálicas y
clavos).
NO CONFORMIDAD
GESTIÓN OPERACIONAL - GESTIÓN INTEGRAL
ISO 9001: 8.5
ISO 14001: 8.2
ISO 45001: 8.2
ISO 28000: 4.4.7
Hecho: Evidencia:
No todas las amenazas probables han sido Evaluación in situ de los puestos de
evaluadas en la vulnerabilidad de la servicio referidos.
organización para la sede Medellín, v. gr.,
descargas atmosféricas. Entrevista con la coordinación del SIG.
No han sido abordados los análisis de

vulnerabilidad para las sedes Barranquilla y
Bogotá y en consecuencia no ha ido formulado
su plan de preparación y respuesta ante
emergencias.
No ha sido validado el plan de preparación y

respuesta ante emergencias en simulacros que
consideren la dimensión ambiental.
No se ha dotado de extintor ni botiquín a los

puestos de servicio 1 y 2 del contrato Metroplus
Sur no obstante, la alta carga combustible que
supone las instalaciones provisionales en
madera, los materiales inflamables presentes,
las desfavorables condiciones locativas y la
proliferación de roedores.
No se ha dotado de malla protectora la cubierta

polimérica de la sede central, ubicada justo
encima del almacén central (tejas PVC, PC,
PMMA y polisombra PP, todos materiales
combustibles).

NOVASEP
CICLO 2019
No ha sido suministrada formación a los grupos

de interés pertinente acerca del plan de
preparación y respuesta ante emergencias de
las diferentes sedes.
No se evidenció conocimiento del plan de

preparación y respuesta ante emergencias en
los puestos de servicio en los que no está
presente el cliente durante las 24/7 v. gr.,
Edemsa – Interaseo La Estrella, Ancón; C&F
International.
OBSERVACIÓN
GESTIÓN INTEGRAL
ISO 9001: 9.1
ISO 14001: 9.1
ISO 45001: 9.1
ISO 28000: 4.5.1
Hecho: Evidencia:
Si bien formulado, no se ha logrado la Entrevista con Coordinadora del SIG.

apropiación desde los directores y líderes de
proceso de la estructura del seguimiento,
medición, análisis y evaluación requerido para
los elementos clave del SIG.
OBSERVACIÓN
GESTIÓN COMERCIAL
ISO 9001: 9.1.2
Hecho: Evidencia:
Aportar elementos de confianza en la Entrevista con Asistente Comercial

determinación del nivel de satisfacción de los
clientes, considerando que no se evidenció la
formal determinación del método de inferencia
estadística para obtener información asociada a
la percepción de los clientes.
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 14001: 10.2
Hecho: Evidencia:
La organización no ha determinado frente a Entrevista con coordinadora del SIG.

cuáles criterios evaluará su desempeño
ambiental y cómo comunicará su resultado.

NOVASEP
CICLO 2019
NO CONFORMIDAD
GESTIÓN INTEGRAL
ISO 9001: 10.2
ISO 14001: 10.2
ISO 45001: 10.2
ISO 28000: 4.5.3
Hecho: Evidencia:
No en forma regular se activa el mejoramiento Matriz ACPM

vía el análisis de causas para emprender
acciones correctivas.
No se evidenció el inicio de acciones correctivas,

preventivas y de mejora en correspondencia con
el análisis de los datos clave del sistema de
gestión organizacional.

NOVASEP
CICLO 2019
8. CONCLUSIONES.
Objetivo Conclusiones
Los procesos han trabajado en forma regular en el propósito de eliminar los
lastres que ponen en peligro las estrategias competitivas, a saber:
• Falta o fallas de comunicación

• Falta de información
• Falta de control de costes
• Inercia
• Falta de políticas, metodologías y estrategias para lograr los objetivos
Determinar la conformidad de los
procesos del sistema de gestión de Se evidencia un sistema de gestión que recorre los pasos que deben ser
acuerdo con los requisitos de las llevados a cabo para ajustarse a los referenciales. Hoy, los enfoques y
normas NTC ISO 28000:2008, NTC
ISO 9001:2015, NTC ISO orientaciones, si bien advertidos, aún no se han afincado y en consecuencia, el
14001:2015, NTC ISO 45001:2018. sistema de gestión exhibe frentes de mejoramiento al respecto. Casos que lo
ilustran son la cabal gestión del riesgo y la oportunidad, la gestión sobre los
grupos de interés pertinentes, la perspectiva de ciclo de vida en la gestión
ambiental y la gestión del mejoramiento.
La organización no posee una adecuada comprensión de la totalidad de los

criterios y los nuevos enfoques. El trabajo que garantice su implantación y
cumplimiento aún no ha sido culminado.
La gestión temprana del riesgo exhibe deficiencias.
Evaluar la capacidad de los

procesos del Sistema de Gestión No se evidencian riesgos legales relevantes. A hoy, la organización no se
para asegurar el cumplimiento de los
requisitos legales y reglamentarios encuentra incursa en situaciones que comprometan su estabilidad legal.
aplicables al alcance del sistema de
gestión y las normas del sistema de Debe ser fortalecida la identificación de los requisitos legales y reglamentarios
gestión NTC ISO 28000:2008, NTC
ISO 9001:2015, NTC ISO
pertinentes y su evaluación de cumplimiento.
14001:2015, NTC ISO 45001:2018.
Determinar la eficacia del sistema de

gestión para asegurar que la En todos los frentes se exhiben oportunidades de mejoramiento. No han sido
organización puede tener
expectativas razonables con relación cerrados los ciclos de mejora y en consecuencia, no se puede conceptuar
al cumplimiento de los objetivos acerca de la eficacia lograda.
especificados.
Determinar la eficaz implementación

y mantenimiento del Sistema de
No se evidenciaron ejercicios sistemáticos, sistémicos e iterativos de revisión
Gestión. de la estrategia que reafirmen la razonable capacidad de lograr las metas
trazadas.
Identificar oportunidades de mejora Referirse a la información arriba reportada.

en el Sistema de Gestión

NOVASEP
CICLO 2019
El equipo auditor,
------------------------------------- ------------------------------------
W. J. Bermúdez Ramírez J. W. Jaramillo Restrepo
Auditor Líder Auditor Cadena de Suministro

NOVASEP
CICLO 2019

Informe Auditoria Interna

Cargado por

Copyright:

Formatos disponibles

Informe Auditoria Interna

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Informe Auditoria Interna

Cargado por

Copyright:

Formatos disponibles

REPORTE DE AUDITORÍA INTERNA

EMPRESA NOVA SEGURIDAD PRIVADA LTDA - NOVASEP Auditoría Ciclo 2019

REPORTE DE AUDITORÍA INTERNA

4. Determinar la eficaz implementación y mantenimiento del Sistema de Gestión.

5. Identificar oportunidades de mejora en el Sistema de Gestión.

REPORTE DE AUDITORÍA INTERNA

2. DESARROLLO DE ACTIVIDADES, PRUEBAS DE AUDITORÍA Y CONSIDERACIONES

 Revisión de la información suministrada por la organización, realizada a 2019.12.14 con el

 Reunión de apertura realizada a 2019.12.16 y ejecución de la auditoría al sistema de gestión,

 La auditoría incluyó análisis exploratorio de evidencias por muestreo mediante estudio de

C&F INTERNATIONAL S.A.S

1 servicio con arma no letal 24 horas permanentes

CONSORCIO ABURRA SUR

5 servicios con arma no letal 24 horas permanente

REPORTE DE AUDITORÍA INTERNA

ELECTRICAS DE MEDELLIN - INGENIERIA Y SERVICIOS S.A.S

Aplica seguridad en la cadena de suministro en la unidad de servicio de la

1 servicio sin arma 8 horas nocturnas permanente.

Guayabal: 1 servicio con arma 12 horas diurno de lunes a viernes

INTERASEO S.A.S E.S.P

2 servicios sin arma 24 horas permanente.

RECAUDOS INTEGRADOS S.A.S

 Se observa que la técnica de muestreo incorpora un riesgo en los resultados derivado de la

 La auditoría abordó evaluación frente a la capacidad de cumplimiento por la organización

 El ejercicio de auditoría verificó la gestión de la organización para cumplir los requisitos

REPORTE DE AUDITORÍA INTERNA

 Se garantizó la comprensión clara y precisa del objeto y alcance de la auditoría a llevarse a

 El equipo auditor se aseguró de que el referido legajo normativo se encontrara completo

 Durante la auditoría se aplicaron pruebas y se marcaron los énfasis señalados por la

 Determinación del alcance de la Auditoría:

• Evaluación cabal del SIG.

REPORTE DE AUDITORÍA INTERNA

Así, se determinaron los siguientes énfasis:

Adopción de los enfoques y orientaciones presentes en la estructura de alto

Determinación del estado y la importancia de los procesos a auditar:

Los procesos de auditoría interna tienen limitaciones de tiempo para su

El estado es la situación del proceso o área a auditar.

Primer Criterio: Esta situación (el estado) puede establecerse si es un proceso

Segundo Criterio: Puede ser también un proceso o área que ha provocado

En cuanto a la importancia, se deben considerar aquellos procesos que tienen

En definitiva, los tiempos asignados en la auditoría dependieron de las

Algunos de ellos pudieran no presentar problemas, pero sí son procesos clave

La selección de los procesos y las áreas a auditar se reflejan en los registros

De otra parte, se señala que este informe no incluye la evaluación de los

REPORTE DE AUDITORÍA INTERNA

Integral) y a la revisión por la dirección (inscrita en el proceso Direccionamiento

 La auditoría revisó los argumentos presentados por la organización en el Manual del

Este requisito no aplica para el Sistema de Gestión de NOVA SEGURIDAD PRIVADA

Al respecto se establece la siguiente discusión:

ISO 9001:2015 Sistemas de Gestión de la Calidad. Requisitos, establece en los

Cuando la trazabilidad de las mediciones es un requisito, o es considerada por la organización como

a) calibrarse o verificarse, o ambas, a intervalos especificados, o antes de su utilización, contra

En tanto ISO 18788:2016 Sistema de Gestión para Operaciones de Seguridad Privada.

Así, resulta razonable aceptar la declaración de no aplicabilidad. No obstante, se señala a la

3.4.9 Medición: Proceso (3.3.5) para determinar un valor.

Para garantizar la conformidad de los servicios actualmente prestados la organización no

REPORTE DE AUDITORÍA INTERNA

Respecto a la declaración de no aplicabilidad de los requisitos asociados a la cláusula 8.3 diseño

 La auditoría abordó la evaluación de puntos clave dentro de los procesos contemplados en