Contenido
1.
Introducción
2.
Consideración de los procesos virtuales en la planificación de la auditoría
3.
Realización de la auditoría
4.
Estudios de casos prácticos
Caso
1: Hamburguesería
Caso
2: Auditoría de la función de compras
Caso
3: Auditoría de aprendizaje automático
5.
Apéndice: ejemplos basados en cláusulas
1. Introducción
Una auditoría se define como un “proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría” (ver ISO 9000: 2015).
Los criterios de auditoría son “conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia objetiva” (ISO 9000: 2015).
Al pensar en el proceso de recopilación y verificación de evidencias objetivas en el proceso de auditoría, lo que a menudo viene a la mente son las entrevistas, las observaciones de las personas que actúan dentro de las instalaciones, infraestructura, equipos, actividades, el análisis de registros y documentos, la comparación de diferentes fuentes de información y la visita a las instalaciones para observar los procesos.
En el caso de ISO 9001: 2015, generalmente llevamos a cabo la auditoría a través de los procesos, analizando entradas y salidas, secuencias e interacciones, métodos, criterios, seguimiento, recursos, responsabilidades y autoridades, riesgos y oportunidades, evaluación y mejora.
¿Qué sucede cuando los procesos son intrínsecos al equipo, integrados en el software u ocultos detrás de procesos automatizados? Un enfoque de auditoría típico puede darnos una visión y una capacidad con limitaciones para evaluar la conformidad con los requisitos. En realidad, la mayoría de los elementos, como entradas y salidas, secuencias e interacciones, métodos, criterios, seguimiento, recursos, responsabilidades y autoridades, están predeterminados. Nuestro enfoque clásico es interactuar con personas y objetos. En un entorno digital, debemos ocuparnos más del software y el hardware.
Cuando los procesos están automatizados, integrados en software y hardware, ejecutados sin aparente intervención humana, entonces nuestro proceso de auditoría presenta importantes desafíos. El primer desafío es comprender el entorno virtual donde interactúan los procesos digitales y los tradicionales. En un mundo digital, una cantidad cada vez mayor de procesos, especialmente los procesos relevantes para la calidad, se llevan a cabo en sistemas automatizados o incluso autónomos.
Grandes plantas de generación de energía, compañías de distribución masiva que involucran numerosos sitios y activos, y extensas redes de tuberías son ejemplos de operaciones que son enormes en tamaño y sorprendentemente pequeñas en cuanto a mano de obra. Detrás de ese escenario, nos encontramos con que la mayoría de los procesos se ejecutan bajo el escrutinio y la supervisión de dispositivos digitales, que son los equipos en los que se ejecutan los programas, y los datos se procesan y analizan mediante fórmulas y algoritmos. A usted, como auditor, se le presenta un entorno virtual donde un activo digital procesa datos, toma decisiones y realiza acciones basadas en un programa.
Nuestras actividades de auditoría deben reconocer los desafíos que dichos entornos y procesos virtuales plantean al proceso de auditoría. El proceso de reabastecimiento automatizado involucra el almacenamiento y la compra, una sala de control en un proceso de producción toma decisiones operativas por sí misma en función de los insumos y la programación de sensores y equipos. Estos y muchos otros procesos alguna vez se ejecutaron con lápiz, papel, notas de remisión, llamadas telefónicas, experiencia y datos extraídos de los registros de recepción o envío de materiales. Ahora, estos procesos se ejecutan sin esa cantidad de intervención humana y constituye un programa basado en supuestos, reglas, datos y decisiones dentro de esos procesos.
Tomemos, por ejemplo, la información documentada, un concepto central de un sistema de gestión de la calidad. Es esencial comprender que la información documentada que antes se encontraba dentro de construcciones de documentos de texto e informes escritos a mano ahora está cada vez más digitalizada. Esto no se limita a la transición de archivos en papel al formato PDF o al ingreso de datos en hojas de cálculo electrónicas.
La información documentada ahora se incorpora en programas de software, sistemas ERP y flujos de trabajo, portales de comercio electrónico, entidades de inteligencia artificial y un sinfín de otros formatos. Los requisitos y las entradas son parte integral de los programas de software. Por lo tanto, "... mantener información documentada para apoyar la operación de sus procesos … y conservar la información documentada para tener la confianza de que los procesos se realizan según lo planificado” (ISO 9001: 2015, cláusula 4.4.2), a menudo están intrínsecamente entrelazados en la infraestructura electrónica.
Un ejemplo sencillo (véase también la Sección 4) de la interacción de los procesos virtuales y analógicos en una hamburguesería que ofrece hamburguesas como producto y comida rápida como servicio.
Una hamburguesería puede tener:
- Conversaciones de los empleados con los clientes para la toma de pedidos.
- Proceso de toma de pedidos digital a través de software
- El software asigna los ingredientes, a menos que se indique lo contrario. Alimentación de datos de pedidos a las cocinas e información de inventario a compras
- Secuenciación de las actividades de cocción basado en el software que registra los pedidos.
- Procesos electrónicos de cocción de papas fritas, no conectados al software sino automatizados en una batería de varias freidoras.
- El cocinero seleccionando ingredientes y agregándolos para armar la hamburguesa
- El empleado que coordina la finalización de pedidos en función de ayudas visuales y alarmas de la pantalla del software
- Montaje del pedido (papas fritas, refrescos, hamburguesa, postre)
- Conversación del empleado para entregar el pedido.
Las actividades digitales y analógicas interactúan en las organizaciones todo el tiempo de diferentes formas y composición. Por lo tanto, comprender el contexto en el que estas actividades ocurren y de hecho constituyen procesos es clave para una planificación eficaz de la auditoría.
Este trabajo se centra en estos procesos virtuales, procesos que se llevan a cabo principalmente de forma automatizada con poca intervención humana y sin la toma de decisiones humanas directas a nivel operativo, pero donde las características del producto y proceso se determinan en una fase de desarrollo o planificación. Es la información documentada digitalizada, integrada en los programas de software, la que define y controla el proceso.
Para mantener la coherencia a lo largo de este documento, se utilizan los siguientes términos:
Los “procesos virtuales” son aquellos que están automatizados, integrados en software y hardware, ejecutados sin una aparente intervención humana.
Los “procesos tradicionales” son aquellos que son tangibles, concretos y ejecutados con intervención humana directa. También pueden denominarse «ladrillo y cemento», «analógico», «cara a cara» o «físico».
2. Consideración de los procesos virtuales en la planificación de la auditoría
El auditor, cuando sea posible, debe tener un conocimiento adecuado de qué actividades digitales se están llevando a cabo y dónde, de modo que el plan de auditoría pueda incluir el tiempo suficiente para comprender las aplicaciones del programa digital y, en consecuencia, el entorno virtual. Esto podría lograrse durante las auditorías Etapa 1 o mediante la revisión de informes anteriores.
Si
no hay información preparatoria sobre entornos virtuales, y el auditor se
enfrenta a un proceso virtual significativo inesperado, el auditor debe ajustar
el plan de auditoría actual y asignar tiempo para comprender y auditar esos
procesos.
Al planificar, las interacciones entre el entorno virtual y las actividades tradicionales deben entenderse en una perspectiva de enfoque de procesos. Consulte la Figura 2 anterior, que muestra la interacción de las actividades digitales y tradicionales dentro de los procesos.
Una representación digital puede reflejar la interacción de más de un proceso. Para comprender las decisiones y los controles inherentes al modelo virtual, un mapeo puede ser útil para planificar la auditoría.
Las interfaces de proceso entre diferentes aplicaciones de programas o modelos virtuales suelen estar propensas a errores. Dado que deben definirse y controlarse, las siguientes preguntas en una auditoría pueden permitir al auditor determinar si los procesos virtuales están adecuadamente controlados:
- ¿Existe una comprensión clara de qué aplicaciones de programas digitales se utilizan en la organización?
- ¿Existe una comprensión clara del alcance de cada programa y sus tareas?
- ¿Qué objetos (tipo de datos utilizados en el software, como datos de clientes, datos de productos, datos financieros, etc.) están representados en estos modelos?
- ¿Cómo interactúan los diferentes programas?
- ¿Qué tan coherentes son los modelos? ¿Se pueden transferir datos automáticamente (en comparación con manualmente) o con formatos adicionales?
- ¿Son coherentes las estructuras de datos?
- ¿Cuál es el alcance de su modelo?
- ¿Cuáles son los resultados esperados?
- ¿Cuáles son las entradas y salidas y cómo se realizan y comunican / transmiten?
- ¿Cómo se desarrolló el modelo? ¿Qué supuestos y simplificaciones se han realizado? ¿Cuál es el alcance de la aplicación del programa resultante?
- ¿Quién ha desarrollado el modelo? ¿Quién tiene la autoridad y la responsabilidad de cambiarlo?
- ¿Cómo se verificó el modelo con respecto a los requisitos y se probó su consistencia?
- ¿Cómo se validó el modelo y cuáles fueron los resultados?
- ¿Dónde se han detectado desviaciones de la realidad / limitaciones de aplicabilidad?
- ¿Cómo se utilizan los resultados del modelo?
- ¿Qué datos del uso del producto o servicio se recuperan durante el ciclo de vida para la mejora de productos, servicios y procesos?
- ¿Cómo se cambia el modelo?
- ¿Tiene la organización un escenario de contingencia en caso de que el modelo haya ejecutado incorrectamente su tarea?
El auditor debe asegurarse de que la persona entrevistada sea la responsable de estos aspectos del proceso; en general no es el operador de la máquina, ni la persona que trabaja a nivel operativo.
Es importante durante la planificación de la auditoría asignar el tiempo adecuado para las entrevistas con los desarrolladores de algoritmos, las personas que fijan los criterios de decisión y las personas involucradas en la validación de aplicaciones.
3. Realización de la auditoría
Al observar un entorno virtual, los auditores pueden estar sesgados al considerar que el personal de la sala de control está tomando todas las decisiones en el proceso. Los auditores también pueden centrarse en los equipos, sensores e interfaces digitales y considerarlos controles. Sin embargo, el equipo y el personal que lo maneja deben ser solo una parte del proceso de auditoría.
El auditor debe comprender los resultados esperados del proceso virtual y cuán real se toman las decisiones. Ver ejemplos en la tabla 1.
Un
modelo de auditoría adecuado de un entorno virtual comprende la comprensión de
los resultados previstos del Proceso.
El
modelo se puede utilizar para lograr la comprensión y establecer la base para
verificar la conformidad con los requisitos al comprender la interacción entre
el programa o los programas, los activos tecnológicos, sus criterios de
decisión y sus competencias.
4. Estudios de casos prácticos
Caso 1: Hamburguesería
Utilizando el modelo de la figura 2 y el ejemplo de la hamburguesería de la Introducción, a continuación, se presenta un ejemplo práctico de la implementación del modelo de auditoría.
Caso
2: Auditoría de la función de compras
El control de la función de compra puede estar regida por algoritmos complejos que calculan valor de inventario, rotación de inventario, tiempos de entrega de los proveedores, picos estacionales en las ventas, obsolescencia, lanzamientos de nuevos productos, vida útil del producto y tendencias del mercado. La salida de los cálculos podría estar tan automatizada que cuando un artículo cae por debajo de un nivel de stock predeterminado, se transmite una solicitud de compra a través de EDI (intercambio electrónico de datos) al proveedor, sin intervención humana. El producto se recibe en el muelle. Luego, se escanea el código de barras utilizando escáneres de mano que están conectados en red a la base de datos del ERP. Se imprime una etiqueta de aceptación con un código de barras de almacenamiento y el material se envía al stock. No hay inspección debido al hecho de que el sistema ha sido programado para marcar cualquier mercancía entrante con cero defectos sobre un número predeterminado de envíos anteriores como "muelle a stock". Esto significa, con base en datos objetivos, que se ha evaluado el riesgo y se ha determinado que el producto no requiere inspección o verificación de entrada. El proceso está completamente automatizado, con la excepción de la persona que recibe la mercancía. Ese paso podría automatizarse aún más haciendo que los robots muevan el producto desde el muelle hasta la ubicación designada en el estante. ¿Cómo evaluaría un auditor estos procesos interrelacionados para determinar la conformidad con los requisitos de 8.4 Control de los procesos, productos y servicios proporcionados externamente?.
El auditor puede solicitar muestras de los informes de inspección que se han subido al ERP, que rige el programa de muelle a stock. Para determinar la efectividad del programa de nivel de inventario, se pueden hacer preguntas para ver si los pedidos de algún cliente se retrasaron debido a condiciones de falta de stock. Una entrevista tanto con el agente de compras como con la persona que establece los parámetros mínimos / máximos en el sistema ERP demostraría que el proceso de compras está logrando la meta de mantener niveles alineados con los objetivos financieros. Se puede entrevistar a un ingeniero para explicar cómo los números de pieza son completos y correctos. La descripción se carga en el sistema ERP, junto con los proveedores designados.
La misma pregunta se puede hacer en relación con una variedad de otras cláusulas de la Norma ISO 9001. estándar (ver el punto 5. Apéndice, al final, para ejemplos basados en cláusulas).
Caso 3: auditoría de aprendizaje automático
Durante la evaluación de la conformidad, un auditor puede encontrar el uso de métodos tales como aprendizaje automático por parte de la organización que se audita. Además, en relación con el aprendizaje automático, se utilizan una serie de conceptos, como inteligencia artificial, minería de datos, etc. Estos conceptos están relacionados y la aplicación de un término en particular, y su interpretación son directamente dependientes de la organización.
Dado que el aprendizaje automático es una mejora a través de la experiencia, el auditor debe comprender cómo el proceso auditado utilizó algoritmos informáticos. Cada escenario puede ofrecer una perspectiva diferente, de ahí la importancia de planificar para comprender ese proceso que se ejecuta dentro de las aplicaciones de aprendizaje automático.
Los métodos de aprendizaje automático se pueden utilizar en programas como:
- Asistentes de voz;
- bots de chat;
- Una variedad de programas de análisis y previsión de datos;
- Control de diversos mecanismos sin participación humana o con participación humana limitada , etc.
En cualquier caso, el auditor debe recopilar evidencias objetivas sobre los siguientes temas:
- ¿Qué método / modelo de aprendizaje automático se utiliza (por ejemplo, red neuronal, bosque aleatorio, KNeighbours, etc.)?
- ¿Cómo se adaptó a la aplicación en particular?
- ¿Cómo se entrenó el método / modelo (si corresponde)?
- ¿Cómo se verificó / validó su desempeño?
- ¿En qué circunstancias (si corresponde) debe un método / modelo transferir el control a un operador humano? ¿Cómo se establece esta transferencia y qué tan confiable es la transferencia?
5. Apéndice: ejemplos basados en cláusulas
Aquí se presentan ejemplos de aplicaciones de varios niveles de datos electrónicos, procesos digitalizados y recursos de apoyo en relación con las cláusulas de ISO 9001: 2015.
Estos ejemplos no son exhaustivos y pueden ser elaborados. Aunque se presentan en relación con las cláusulas de la norma con las que se relacionan más de cerca, es importante recordar que la auditoría se realiza mediante procesos.
Cláusula / sub-cláusula |
Proceso o actividad |
|
4.4 |
Sistema
de gestión de la calidad y sus procesos |
· Definición de la interrelación de los procesos virtuales · Auditar la implementación de la planificación del enfoque
a procesos y los cambios dentro de los procesos virtuales. |
5.3 |
Roles,
responsabilidades y autoridades |
· Definición de accesos y niveles de autorización · Responsabilidad de los programadores · Responsabilidad de los operadores del programa |
6.1 |
Acciones
para abordar riesgos y oportunidades |
·
Uso de algoritmos para cuantificar el riesgo |
7.1.3 |
Infraestructura |
· Programas de equipos de producción para el mantenimiento
integral de la maquinaria. · Programas de software de mantenimiento preventivo
(independientes) o integrados en el programa de producción ERP · Actualizaciones del programa · Compatibilidad de software y hardware |
7.1.5 |
Recursos
de seguimiento y medición |
· Selección de recursos de seguimiento y medición · Garantizar la integridad de los algoritmos y otros tipos
de seguimientos controlados electrónicamente, como los ajustes del control estadístico
de procesos (SPC) en tiempo real. · Programas de calibración administrados a través de
software, incluida la determinación / monitoreo de frecuencias y retiro · Acceso a registros de calibración a través de portales de
proveedores de tercera parte para servicios de calibración. |
7.2 |
Competencia |
· Competencia en relación con la agilidad para comprender y
utilizar los medios digitalizados de forma eficaz · Disponibilidad de formación en línea autodirigida · Competencia de los programadores · Competencia de los operadores de programas |
7.4 |
Comunicación |
· Comunicación dependiente de alertas programadas, etc. · Comunicación a otras ubicaciones para organizaciones
con esquemas de múltiples sitios · Comunicación con clientes, proveedores y demás
interesados a través de portales. |
7.5 |
Información
documentada |
· Control de la infraestructura electrónica, incluida la
seguridad y otros riesgos. · Control y mantenimiento del sitio web · Asegurar que se implementen procesos apropiados para:
identificación, descripción, formato, revisión, aprobación, recuperación
de acceso y almacenamiento · Control de cambios |
8.1 |
Planificación
y control operacional |
· Planificación de la producción (incluida la determinación
de las restricciones de recursos) · Planificación de la prestación de servicios · ¿Cómo se integran en la aplicación
los requisitos para los productos y servicios, los respectivos criterios
de aceptación y los criterios para los procesos? · ¿Cómo se implementa el control en software (SW)? |
8.2 |
Requisitos
para los productos y servicios |
· Requisitos del cliente para los productos
y los requisitos relacionados con el SGC a los que
se accede a través de portales. · Transmisión de pedidos a través de intercambio
electrónico de datos (EDI) o mediante portales de clientes. · Comercio electrónico · Comunicación con los clientes, incluidas quejas, portales
de acciones correctivas, boletas de calificaciones periódicas |
8.3 |
Diseño
y desarrollo de los productos y servicios |
· Todos y cada uno de los programas de diseño, incluidos
CAD / CAM, SolidWorks, archivos Gerber, etc. · Entradas para el diseño del programa · Control de cambios en el diseño del programa |
8.4 |
Control
de los procesos, productos y servicios suministrados externamente |
· Sistema ERP · Transmisión de pedidos EDI · Seguimiento de la vida útil del producto, etc. |
8.5 |
Producción
y provisión del servicio |
· Seguimiento y control de procesos automatizados:
velocidad, tiempo, temperatura, peso, viscosidad, etc. · Seguimiento y control remoto de procesos como
corresponsabilidad entre proveedor y cliente. |
8.5.6 |
Control
de los cambios |
· Registro automático del cambio con fechas y autorización |
9.1 |
Seguimiento,
medición, análisis y evaluación |
· Evaluación del desempeño: monitoreo de procesos a través
de medios electrónicos y la capacidad de analizar los datos
para la toma de decisiones efectiva. · Validación de datos, tanto de entrada como de salida |
10.2 |
No
conformidad y acción correctiva |
· Capacidad para vincular los resultados no conformes con
las acciones correctivas. · Capacidad para vincular muchos otros procesos,
como notificaciones de cambios de ingeniería y cambios de
diseño |
No hay comentarios:
Publicar un comentario