INTRODUCCIÓN
INFORMACIÓN
SOBRE LOS ANTECEDENTES DE ISO 19011:2018 e IAF MD 4
RECOMENDACIONES GENERALES PARA LAS AUDITORÍAS REMOTAS
PROGRAMA DE AUDITORÍA
PLANIFICACIÓN DE LA AUDITORÍA
REALIZACIÓN DE LA AUDITORÍA
CONCLUSIONES DE LA AUDITORÍA
ANEXO:
Ejemplo de identificación de RIESGOS y Oportunidades para el uso de técnicas de
auditoría remota
INTRODUCCIÓN
La auditoría remota es uno de
los métodos de auditoría descritos en ISO 19011: 2018 Anexo A1. El valor de
este método de auditoría reside en su potencial para proporcionar flexibilidad
para lograr los objetivos de auditoría. Para aprovechar los beneficios de este
método de auditoría, todas las partes interesadas deben conocer su papel en el
proceso, insumos, productos esperados y riesgos y oportunidades que
proporcionarán la base para lograr los objetivos de auditoría y del programa de
auditoría.
Hay una variedad de razones
por las que un auditor puede no estar presente debido a restricciones de
seguridad, pandemias o restricciones de viaje. El confinamiento voluntario u
obligatorio debido a la actual Pandemia COVID19, montaje de andamio para la
puesta en servicio de un molino de viento, pruebas explosivas y otros
escenarios son todos ejemplos en los que la auditoría de forma remota resulta
beneficiosa.
Las nuevas tecnologías de la
información y la comunicación (TIC) han hecho que la auditoría remota sea más
factible. A medida que ha aumentado el acceso a las TIC, la auditoría remota se
ha vuelto más utilizada. Esto permite que el auditor se comunique con personas
a nivel mundial, accediendo a una amplia gama de información y datos.
Estas técnicas transforman la
forma en que trabajamos. Estas TIC abren la oportunidad de auditar sitios y personas
de forma remota, acortando distancias, tiempo de viaje y costos, reduciendo el
impacto ambiental asociado a los viajes de auditoría, adaptando las auditorías
a los diferentes modelos organizativos. Las TIC pueden ayudar a aumentar el
tamaño o la calidad del muestreo en el proceso de auditoría, si se prepara,
valida y utiliza correctamente. Este es el caso, por ejemplo, cuando se
utilizan cámaras de video, teléfonos inteligentes, tabletas, drones o imagen
satelital para verificar los enclaves físicos, como la identificación de
tuberías en la industria del petróleo, ajustes de maquinaria, áreas de
almacenamiento, procesos de producción o bosques o sitios agrícolas.
El uso de las TIC también
permite la inclusión de conocimientos especializados en una auditoría que, de otro
modo, no hubiera sido posible debido a limitaciones financieras o logísticas.
Por ejemplo, la participación de un experto técnico es posible que solo se
necesite para analizar un proyecto específico durante solo dos horas. Con las
TIC disponibles el experto técnico puede ser capaz de analizar el proceso de
forma remota, reduciendo así el tiempo y los costos asociados con el viaje.
Por otro lado, sin embargo,
debemos considerar las limitaciones y riesgos que plantean las TIC en el cumplimiento
de los objetivos de la auditoría. Estos incluyen seguridad de la información,
protección de datos y cuestiones de confidencialidad, veracidad y calidad de la
evidencia objetiva recopilada, entre otros.
Las siguientes son preguntas que pueden surgir.
- Cuando miramos imágenes, ¿estamos mirando imágenes en tiempo real o estamos viendo videos grabados?
- ¿Podemos capturar todo sobre el sitio remoto o estamos siendo guiados a través de imágenes seleccionadas?
- Al planificar una entrevista remota, ¿habrá conexión a Internet estable y la persona a entrevistar sabrá cómo usarla?
- ¿Los procesos y sitios a auditar pueden ser auditados fuera del sitio de manera realista?
- ¿Puede usted tener una buena visión general de las instalaciones, el equipo, las operaciones y los controles? ¿Puede acceder a toda la información pertinente?
Muchas de estas preguntas solo
pueden responderse después de una visita al sitio.
Para utilizar las TIC en el proceso de auditoría, el director del
programa de auditoría y el equipo auditor deben identificar los riesgos y
oportunidades y definir criterios de decisión para aceptar o no su uso, cuando y
en qué condiciones.
En este trabajo abordamos la auditoría remota desde el establecimiento del programa de auditoría, moviéndonos a la planificación de la auditoría hasta su realización. Señalamos algunas buenas y malas prácticas en su uso y compartimos algunos ejemplos. Presentamos un análisis genérico de riesgos y oportunidades para el uso de algunas TIC, que pueden servir de base para el proceso de toma de decisiones.
INFORMACIÓN SOBRE LOS ANTECEDENTES DE ISO 19011:2018 E IAF MD 4
De acuerdo con ISO 19011:2018, al establecer el programa de auditoría se debe considerar la viabilidad de una auditoría remota utilizando las TIC. Es importante verificar la adecuación de los recursos necesarios para asegurar un resultado de auditoría efectivo. En su anexo A.1, ISO 19011 da varios ejemplos de la aplicación de métodos de auditoría remota en combinación con métodos in situ.
Las auditorías remotas se refieren al uso de las TIC para recopilar información, entrevistar a un auditado, etc., cuando Los métodos "cara a cara" no son posibles ni deseables. (ISO 19011)
IAF MD 4 es un documento obligatorio para el uso de las TIC con fines de auditoría /evaluación. Este define las reglas que deben seguir los organismos de certificación y sus auditores para garantizar que se utilicen las TIC para optimizar la eficiencia y eficacia de la auditoría /evaluación, al tiempo que respalde y mantenga la integridad del proceso de auditoría.
Tanto la ISO 19011 como la IAF MD 4 deben ser conocidas y consideradas por los auditores.
Una aclaración importante hecha en ISO 19011, A.16 es entre auditorías remotas y auditorías a ubicaciones virtuales. "La auditoría de una ubicación virtual a veces se denomina auditoría virtual".
La auditoría virtual es un conjunto de actividades de auditoría en un entorno virtual. Un entorno virtual puede estar compuesto por actividades digitales y/o no digitales que utilizan activos tecnológicos (software, hardware, sensores, PLCs, dispositivos automatizados) que toman algunas o la totalidad de las decisiones en los procesos. Como, por ejemplo, una planta de fabricación puede tener robots que realizan algunos procesos de producción, pero también personas que realizan procesos de producción tradicionales. Las decisiones sobre los procesos productivos tomadas por los robots o por las personas son igualmente importantes. Las de los robots provienen ciertamente de personas que hacen su código, establecen sus supuestos, criterios de toma de decisiones y otras características.
RECOMENDACIONES GENERALES PARA LAS AUDITORÍAS REMOTAS
PROGRAMA DE AUDITORÍA
Consideraciones para el uso de técnicas de auditoría remota
Los requisitos de los documentos de IAF, de los organismos de acreditación y de los organismos de certificación proporcionan el marco para determinar la elegibilidad para el uso de técnicas de auditoría remota. Para las auditorías de primera y segunda parte, es competencia del cliente o de la organización auditada determinar la conveniencia o no de una auditoría remota de acuerdo con los objetivos de la auditoría.
Factibilidad
El uso de las TIC para auditorías remota solo tendrá éxito si se dan las condiciones adecuadas. Los aspectos fundamentales son que la tecnología está disponible y que tanto los auditores como los auditados sean competente y se sientan cómodos con su utilización. Esto debe evaluarse antes de tomar la decisión de utilizar técnicas remotas. Esta preparación contribuye a optimizar el proceso de auditoría.
Hay dos escenarios generales:
- Auditoría remota en el sitio: el auditor está en los sitios de la organización y está auditando a las personas, actividades o procesos que están fuera del sitio;
- Auditoría remota fuera del sitio: el auditor no está en la organización y las personas y los procesos pueden encontrarse en las instalaciones del cliente o en otra ubicación (como lo es en una instalación fuera del sitio).
El primer paso para garantizar la viabilidad es determinar qué tecnología se puede utilizar, si los auditores y los auditados tienen las competencias y si los recursos están disponibles.
La viabilidad también depende de la calidad de la conexión en línea. Un ancho de banda débil o las limitaciones en la capacidad del hardware pueden ralentizar el proceso hasta el punto de hacerlo ineficaz. El proceso de auditoría puede verse afectado por la velocidad a la que el auditado accede y muestra las evidencias mediante video, o a través de una tableta o una computadora.
Confidencialidad, seguridad y protección de datos (CSPD)
Para el uso de las TIC resultan críticas las cuestiones de confidencialidad y seguridad, así como la protección de los datos. El Órgano Certificador (OC) y la organización deben tener en cuenta la legislación y las reglamentaciones, que pueden requerir acuerdos adicionales entre ambas partes (por ejemplo: no habrá grabación de sonido ni de imágenes, o autorizaciones para usar imágenes de personas), y posiblemente del propio auditado. Donde sea aplicable de acuerdo a la legislación nacional, el RPD (representante de protección de datos) de ambas organizaciones, deben involucrarse en la evaluación de estos temas. En algunas situaciones, los requisitos de seguridad no permitirán el uso de las TIC.
Para prepararse para el uso de las TIC, todas las certificaciones legales y los requisitos del cliente relacionados con la confidencialidad, la seguridad y la protección deben identificarse y deben tomarse medidas para garantizar su implementación efectiva. Esto implica que tanto el auditor como el auditado están de acuerdo con el uso de las TIC y con las medidas tomadas para cumplir con estos requisitos.
Debería disponerse de pruebas de los acuerdos relacionados con la CSPD. Estas evidencias podrían ser registros, procedimientos acordados o correos electrónicos. La importancia reside en contar con estos criterios CSPD, reconocidos por todos los participantes.
Las medidas para garantizar la confidencialidad y la seguridad deben confirmarse durante la reunión de apertura.
El equipo auditor debe prever el acceso y la retención de más información documentada de lo que correspondería a una auditoría normal cara a cara. Es probable que el equipo auditor quiera tener acceso a más información para prepararse para la auditoría, o para tener la capacidad de analizar información documentada de forma asincrónica. Sin embargo, es importante reforzar la confianza en el proceso de auditoría.
Es una buena práctica que cuando la información documentada se va a analizar de manera asincrónica, esta debe compartirse en un sistema seguro y acordado, como lo son: basado en la nube, Red Virtual Privada u otros sistemas de intercambio de archivos, utilizando las pautas de la CSPD. Una vez concluida la auditoría, el auditor debe borrar de su sistema, o eliminar el acceso, a cualquier información documentada y registros que no deben conservarse como evidencia objetiva.
Los auditores no deben tomar capturas de pantalla de los auditados como evidencia de auditoría. Cualquier captura de pantalla de los documentos o registros u otro tipo de evidencia deben ser previamente autorizados por la organización auditada.
Evaluación de riesgos
Los riesgos para lograr los objetivos de la auditoría se identifican, evalúan y gestionan.
Otro tema importante es comprender qué procesos, actividades o sitios de la organización se puede auditar de forma remota y con qué herramientas TIC disponibles.
IAF MD 4 deja en claro que esta decisión debe basarse en la identificación documentada de los riesgos y oportunidades que pueden afectar la auditoría /evaluación, por cada TIC considerada.
La siguiente tabla enumera los principales problemas para evaluar la viabilidad y el análisis de riesgos para una auditoría remota. Esta evaluación debe realizarse y documentarse para cada auditoría, involucrando a todos los miembros del equipo auditor y al representante de la organización auditada.
Cualquier acuerdo específico debe documentarse y comunicarse entre las partes interesadas.
Finalmente, al analizar la viabilidad, debe considerase
la calidad digital de los datos a revisar. Esto es más relevante cuando la
organización aún conserva información en papel que necesita ser escaneada para su
revisión remota.
En el Anexo de este documento se proporciona una identificación genérica de riesgos y oportunidades potenciales por tipo de tecnología de la comunicación, la cual puede ser utilizada como punto de partida para la determinación de los Riesgos/Oportunidades para el proceso de toma de decisiones. En cualquier caso, tal determinación se debe hacer o revisar para cada situación. También es importante recordar que la intención no es diseñar un enfoque complejo, formal y cuantificado para la determinación de riesgos y oportunidades. La intención es tener la capacidad para identificar las oportunidades y los riesgos, y para determinar si los riesgos pueden mitigarse o aceptase y con el fin de tomar una decisión fundamentada sobre si proceder o no con la aplicación de métodos remotos.
Determinar el uso de las TIC para el ciclo de una auditoría de tercera parte.
Toda la información necesaria para comprender la organización y evaluar la aplicación de las TIC no estará disponible antes de la auditoría inicial. Una de las principales preguntas, antes de evaluar la viabilidad es la voluntad de la organización cliente de dar su consentimiento a la aplicación de una auditoría remota. La auditoría remota solo puede introducirse y confirmarse en el programa de auditoría después de la evaluación inicial, a menos que se determine que es un caso especial basado en criterios establecidos.
En un programa de auditoría para un ciclo de auditoría de certificación inicial, donde hay un conocimiento limitado de la organización, puede ser aceptable realizar algunas partes de las auditorías de ese ciclo de forma remota, si hay ubicaciones de sitios donde los procesos se repiten respecto a otros sitios y no son demasiado complejos o exigentes.
Un argumento convincente de un caso especial para una auditoría remota con frecuencia implica la 1ra etapa de una auditoría inicial de una organización pequeña o mediana. La duración de la auditoría es corta, el tiempo de viaje es largo y el tiempo para la auditoría hace que sea inconveniente ir al sitio en 2 visitas separadas. Una auditoría en su 1ra etapa para un sistema de gestión ISO 9001 se centra en la preparación del sistema y, por lo general, se enfoca en la información documentada. Los riesgos, en este caso, también son más fuertes para la organización. Como el auditor puede perder información por no visitar las instalaciones y la auditoría externa puede no interactuar con las principales personas involucradas en el sistema, el riesgo de que el estado de preparación no sea bien evaluado en la etapa 1 es mayor. La organización debe ser consciente de que un control remoto para 1ra etapa de la auditoría tendrá estos riesgos y es posible que pierdan todos los beneficios de la 1ra etapa, es decir, la capacidad de identificar deficiencias en el sistema de gestión que se pueden resolver antes de la 2da etapa.
Para el auditor, la 2da etapa permitirá mitigar cualquier deficiencia de la 1ra etapa. Una auditoría inicial de 1ra etapa in situ, también es una buena oportunidad para evaluar el uso de las TIC en auditorías posteriores.
El director del programa de auditoría adquiere conocimientos de la organización durante las distintas auditorías del ciclo de auditoría con respecto a sus procesos, actividades, grado de digitalización, TIC disponibles para su uso, criticidad de sitios, resultados de las auditorías internas, actividades remotas y las personas. El auditor debe determinar y comunicar sobre la madurez del sistema de gestión y qué registros y pruebas pueden evaluarse de forma remota y cuáles deben observarse en el lugar. El programa de auditoría puede revisarse para ajustar el uso de las TIC con el objetivo de optimizar el proceso de auditoría. Para un programa de auditoría continuamente actualizado, el auditor debe proporcionar retroalimentación sobre el uso de estas técnicas al final de la auditora, indicando los cambios que deben realizarse, como nuevos procesos, sitios o funciones a incluir o retirar. Se debe comunicar información sobre las mejores técnicas y/o las disponibles.
El programa de auditoría debe identificar qué procesos, sitios o requisitos ISO 9001 serán auditados a distancia.
Cuando se permita la auditoría remota de sitios, el programa de auditoría puede alternar entre auditorías en el sitio y auditorías fuera del sitio, garantizándose un equilibrio adecuado entre las auditorías en el sitio y las remotas dentro del ciclo de certificación. El uso de métodos remotos se incluye en el tiempo de auditoría.
PLANIFICACIÓN DE AUDITORÍA
La planificación de la auditoría, al menos en las primeras auditorías, llevará más tiempo por las siguientes razones:
- evaluar y documentar la viabilidad y los riesgos con el auditado;
- determinar las diferentes TIC utilizadas y cómo se utilizarán;
- definir la agenda que puede necesitar acomodar disposiciones diferentes a las de una auditoría en el sitio (por ejemplo, una mejor definición de las tareas por parte de los diferentes miembros del equipo para garantizar que los auditores auditen por separado y hacer el mejor uso del tiempo, una definición más detallada de los temas que se tratarán en diferentes franjas horarias que requerirán una mejor y previa comprensión de los procesos, de la organización, etc.);
- permitir que la organización identifique a las personas que se van a auditar y garantizar su disponibilidad en un tiempo determinado;
- para realizar una prueba sobre el uso de las TIC antes de la auditoría para confirmar que existe conexión estable y que la gente sabe cómo utilizar la tecnología.
Las conclusiones, después de analizar los riesgos y oportunidades, proporcionan la base para definir qué procesos a auditar y bajo qué TIC.
El auditor debe confirmar con la organización la viabilidad del método de auditoría remota propuesto en el programa, en base a las TIC requeridas y su conocimiento de la organización.
Esto incluye la verificación de que las personas involucradas sabrán
cómo utilizar la herramienta. El auditor revisa el riesgo y las
oportunidades determinadas a la luz de esta auditoría específica y sus
objetivos y podrá proponer cambios en el uso determinado de las TIC. En
caso de que se detecte una situación de alto riesgo la auditoría debe
realizarse en el sitio. Todas las demás situaciones potenciales deben ser
abordadas por las medidas que se reflejarán según sea necesario en el plan de
auditoría. A pesar de utilizar métodos de auditoría remota, debe
mantenerse la confianza de que se alcanzarán los objetivos de auditoría
deseados.
El plan debe identificar claramente qué, cuándo y cómo se llevará a cabo la auditoría.
REALIZACIÓN DE LA AUDITORÍA
Cuando se revisa el plan de auditoría en la reunión de apertura, se debe confirmar la disponibilidad y la viabilidad de usar TIC. También deben revisarse y confirmarse las medidas para garantizar la confidencialidad y la seguridad. Si el auditor tiene la intención de realizar capturas de pantalla, copias de documentos u otro tipo de registros debe pedir permiso, ya sea en la reunión de apertura o cuando utilice las TIC.
Al utilizar las TIC para entrevistar a personas, el equipo auditor debe registrar el nombre y la función de las personas entrevistadas y decirles qué información se está reteniendo. Al realizar entrevistas de forma remota, el auditor deberá verificar las declaraciones de hechos con otras pruebas. Estas deben ser solicitadas y analizadas por el auditor. Si se envían por correo electrónico, el auditor debe garantizar el nivel de confidencialidad requerido para esos documentos.
También es importante asegurarse de que no haya ruido que perturbe la comunicación. Si el auditor está auditando de forma remota fuera del sitio, debe asegurarse de que no haya interrupciones ni perturbaciones. Similar, cuando haya pausas, asegúrese de que el sonido esté en silencio y la imagen apagada para garantizar la privacidad.
Cuando utilice video para ver imágenes en vivo en línea de sitios remotos, es importante que la organización demuestre la veracidad de las imágenes. Si mira imágenes de una instalación, estas pueden compararse con los planos de planta. Las imágenes de un sitio geográfico que se observan se pueden comparar con imágenes satelitales disponibles o información disponible en Sistemas de Información Geográfica (GIS). Se deben registrar las pruebas y la forma en que se recopilaron.
En una auditoría remota es importante tener en cuenta las pequeñas pausas, típicas de las que suelen ocurrir en de manera no planificada en una auditoría in situ. Estar sentado y usar la pantalla continuamente puede ser tedioso. Permitir pequeños intervalos para estirar las piernas y reducir la fatiga ocular ayuda a mejorar la atención al recibir comentarios.
También es aceptable que el auditor informe al auditado cuando se requiere una interrupción para leer y analizar la información que se ha proporcionado. Esto permite una mayor comprensión de la documentación y las pruebas que se han presentado y para la determinación de preguntas antes de volver a convocar la entrevista.
Si se consume tiempo en problemas como el tiempo de inactividad de la red, interrupciones inesperadas o retrasos, problemas de accesibilidad u otros desafíos de las TIC, este tiempo no debe contarse como tiempo de auditoría. Deben establecerse disposiciones para asegurar el tiempo de auditoría.
CONCLUSIONES DE LA AUDITORÍA
El informe de auditoría debe indicar claramente el alcance del uso de las TIC, así como la eficacia de su uso en el logro de los objetivos de auditoría. El informe debe indicar aquellos procesos que no pudieron ser auditados y deberían haber sido auditados en el sitio. Esta información es importante para el proceso de toma de decisiones y las auditorías posteriores.
La retroalimentación del equipo auditor sobre el uso de las TIC debe proporcionarse al jefe del programa de auditoría (ver revisión del programa). El jefe del programa de auditoría debe usar esta retroalimentación para actualizar los riesgos y oportunidades previamente identificados.
ANEXO: Ejemplo de identificación de Riesgos y Oportunidades para el uso de las técnicas de auditoría remota
Este comentario ha sido eliminado por un administrador del blog.
ResponderEliminarEste comentario ha sido eliminado por el autor.
EliminarGracias Leovaldo
Eliminar